Wie startet man remote einen vollverschlüsselten Server?
Hallo, um Verschlüsselung auf allen Geräten einsetzen zu können, ist es nötig Rechner auch per WakeOnLan aufwecken zu können um diese hochzufahren. (ZB. Backup-, o-. Server-Systeme) Sind diese Verschlüsselt, muss ein (o. mehrmals) die Passphrase für LUKS eingegeben werden. Das ist doof, wenn der Rechner woanders steht. Daher die Frage: Welche Möglichkeiten gibt es, openSUSE ab Leap als verschlüsseltes System remote (per SSH) zu wecken und hochzufahren? (Nur via Netzwerkkabel.) In meinen Recherchen habe ich u.a. Dropbear gesehen, nur scheint es das nicht als Suse-Repo/-Paket zu geben, und wenn ich das händisch installiere, laufe ich Gefahr, dass es nach dem nächsten Update/Upgrade nicht mehr funktioniert. Ausserdem, scheint das eh nicht mit einer Vollverschlüsselung, wie dem Standard Suse LVM, zu funktionieren. Eigentlich hätte ich ja nach so vielen Jahren, nach Snowden, NSA und Co. Skandalen schon eine nutzbare Lösung erwartet... Oder habe ich was übersehen? Schonmal danke für eure vielen Anregungen. :-) Tschö' Sue -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am Tue, 5 Mar 2019 15:18:01 +0100 schrieb suse <suse@fkn-systems.de>:
Hallo, um Verschlüsselung auf allen Geräten einsetzen zu können, ist es nötig Rechner auch per WakeOnLan aufwecken zu können um diese hochzufahren. (ZB. Backup-, o-. Server-Systeme) Sind diese Verschlüsselt, muss ein (o. mehrmals) die Passphrase für LUKS eingegeben werden. Das ist doof, wenn der Rechner woanders steht. Daher die Frage:
Welche Möglichkeiten gibt es, openSUSE ab Leap als verschlüsseltes System remote (per SSH) zu wecken und hochzufahren? (Nur via Netzwerkkabel.)
In meinen Recherchen habe ich u.a. Dropbear gesehen, nur scheint es das nicht als Suse-Repo/-Paket zu geben, und wenn ich das händisch installiere, laufe ich Gefahr, dass es nach dem nächsten Update/Upgrade nicht mehr funktioniert. Ausserdem, scheint das eh nicht mit einer Vollverschlüsselung, wie dem Standard Suse LVM, zu funktionieren.
Eigentlich hätte ich ja nach so vielen Jahren, nach Snowden, NSA und Co. Skandalen schon eine nutzbare Lösung erwartet... Oder habe ich was übersehen?
Schonmal danke für eure vielen Anregungen. :-)
Tschö' Sue
Hallo Sue! Ob meine Lösung hier für Dich eine Anregung ist, hängt davon ab, wie sehr "woanders" Dein Rechner steht. Ich habe einen USB-Stick mit einem Schlüssel, den ich vor dem Booten anstecke und dann wieder abziehe. Der Rechner steht aber nebenan (ohne Tastatur und Bildschirm). Eine Möglichkeit ausschließlich übers LAN würde mich allerdings auch interessieren. Viele Grüße Matthias -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 05.03.2019 um 16:16 schrieb Matthias:
Am Tue, 5 Mar 2019 15:18:01 +0100 schrieb suse <suse@fkn-systems.de>:
Hallo, um Verschlüsselung auf allen Geräten einsetzen zu können, ist es nötig Rechner auch per WakeOnLan aufwecken zu können um diese hochzufahren. (ZB. Backup-, o-. Server-Systeme) Sind diese Verschlüsselt, muss ein (o. mehrmals) die Passphrase für LUKS eingegeben werden. Das ist doof, wenn der Rechner woanders steht. Daher die Frage:
Welche Möglichkeiten gibt es, openSUSE ab Leap als verschlüsseltes System remote (per SSH) zu wecken und hochzufahren? (Nur via Netzwerkkabel.)
In meinen Recherchen habe ich u.a. Dropbear gesehen, nur scheint es das nicht als Suse-Repo/-Paket zu geben, und wenn ich das händisch installiere, laufe ich Gefahr, dass es nach dem nächsten Update/Upgrade nicht mehr funktioniert. Ausserdem, scheint das eh nicht mit einer Vollverschlüsselung, wie dem Standard Suse LVM, zu funktionieren.
Eigentlich hätte ich ja nach so vielen Jahren, nach Snowden, NSA und Co. Skandalen schon eine nutzbare Lösung erwartet... Oder habe ich was übersehen?
Schonmal danke für eure vielen Anregungen. :-)
Tschö' Sue
Hallo Sue!
Ob meine Lösung hier für Dich eine Anregung ist, hängt davon ab, wie sehr "woanders" Dein Rechner steht.
Ich habe einen USB-Stick mit einem Schlüssel, den ich vor dem Booten anstecke und dann wieder abziehe. Der Rechner steht aber nebenan (ohne Tastatur und Bildschirm).
Eine Möglichkeit ausschließlich übers LAN würde mich allerdings auch interessieren.
Ob da eine fertige openSUSE existiert vermag ich nicht zu sagen. Aber vll. hilft dies ja als kleiner Denkanstoß (kann ja nicht so schwierig sein das für openSUSE zu 'basteln') https://github.com/lhost/pkg-cryptsetup-debian/blob/master/debian/README.rem... Manfred -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am Tue, 5 Mar 2019 16:32:54 +0100 schrieb Manfred Kreisl <ml4km@arcor.de>:
Ob da eine fertige openSUSE existiert vermag ich nicht zu sagen. Aber vll. hilft dies ja als kleiner Denkanstoß (kann ja nicht so schwierig sein das für openSUSE zu 'basteln') https://github.com/lhost/pkg-cryptsetup-debian/blob/master/debian/README.rem...
Manfred
Hallo Manfred! Danke für den Hinweis. Ich habe die Anleitung kurz überflogen und mir für die nächste Neuinstalation notiert. Dann werde ich das mal ausprobieren. Das Problem für os ist, wie Sue schon schrieb, dropbear. Lt. rmpseek hat's das mal für SuSE gegeben, ist aber nicht mehr verfügbar. Pakete für eine andere Distribution sind immer eine heikle Sache. Außerdem ist das jüngste Paket, das ich dort gefunden habe, von Feb. 2014. Nicht gerade eine stürmische Weiterentwicklung. @Sue Aber bei SuSE gibts tinyssh. Möglicherweise eignet sich das als Ersatz für dropbear. Viele Grüße Matthias -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Hallo Matthias, Am 05.03.2019 um 18:18 schrieb Matthias:
Am Tue, 5 Mar 2019 16:32:54 +0100 schrieb Manfred Kreisl <ml4km@arcor.de>:
Ob da eine fertige openSUSE existiert vermag ich nicht zu sagen. Aber vll. hilft dies ja als kleiner Denkanstoß (kann ja nicht so schwierig sein das für openSUSE zu 'basteln') https://github.com/lhost/pkg-cryptsetup-debian/blob/master/debian/README.rem...
Manfred
Hallo Manfred!
Danke für den Hinweis. Ich habe die Anleitung kurz überflogen und mir für die nächste Neuinstalation notiert. Dann werde ich das mal ausprobieren.
Das Problem für os ist, wie Sue schon schrieb, dropbear. Lt. rmpseek hat's das mal für SuSE gegeben, ist aber nicht mehr verfügbar. Pakete für eine andere Distribution sind immer eine heikle Sache. Außerdem ist das jüngste Paket, das ich dort gefunden habe, von Feb. 2014. Nicht gerade eine stürmische Weiterentwicklung.
Von welchem Paket sprichst Du? Es war nie die Rede davon, das Paket von Debian zu verwenden. Im übrigen ist das Dropbear Paket vom letzten Jahr, also von Stillstand möchte ich da noch nicht sprechen
@Sue Aber bei SuSE gibts tinyssh. Möglicherweise eignet sich das als Ersatz für dropbear.
Mir erschließt es sich momentan nicht, warum der Standard OpenSSH Server nicht verwendet wird. So viel größer ist der bestimmt auch nicht, in der heutigen Zeit ist das doch im Grunde genommen Pillepalle ;) Manfred -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am Tue, 5 Mar 2019 19:19:39 +0100 schrieb Manfred Kreisl <ml4km@arcor.de>: Hallo Manfred!
Von welchem Paket sprichst Du? So, wie ich es bereits geschrieben habe, rede ich ausschließlich von dem, was ich bei rpmseek gefunden habe.
Es war nie die Rede davon, das Paket von Debian zu verwenden. So wie ich Sue verstanden habe, hat sie auch von nicht SuSE-Paketen geprochen ("nur scheint es das nicht als Suse-Repo/-Paket zu geben, und wenn ich das händisch installiere, ...")
Im übrigen ist das Dropbear Paketvom letzten Jahr, also von Stillstand möchte ich da noch nicht sprechen Du hast andere (besser?) Informationen zu dem Paket? Mach's bitte konkret.
in der heutigen Zeit ist das doch im Grunde genommen Pillepalle ;) Letzteres sehe ich in Bezug auf die Größe genauso.
Mir erschließt es sich momentan nicht, warum der Standard OpenSSH Server nicht verwendet wird. So viel größer ist der bestimmt auch nicht, Die Größe ist vielleicht noch nicht mal das entscheidende Problem (392 kB gegen 5,8 MB installierter Größe, ohne Abhängigkeiten). Viel wichtiger erscheinen mir die wesentlich geringeren Abhängigkeiten von tinyssh. Die könnten zu dem frühen Zeitpunkt des Boot-Prozesses durchaus relevant sein, denn ich muß alles Nötige in die initrd packen und das dann auch bei jedem update berücksichtigen. Da freut man sich doch über jedes Paket, von dem der ssh-Server nicht abhängig ist. ;-)
Es gibt wie so oft mehrere Möglichkeiten, die man aber trotzdem kennen sollte. Letztlich muß der Anwender bzw. die Anwenderin selbst entscheiden, welches Paket sie nimmt. Viele Grüße Matthias -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Moin, Am 2019-03-05 15:18, schrieb suse:
Hallo, um Verschlüsselung auf allen Geräten einsetzen zu können, ist es nötig Rechner auch per WakeOnLan aufwecken zu können um diese hochzufahren. (ZB. Backup-, o-. Server-Systeme) Sind diese Verschlüsselt, muss ein (o. mehrmals) die Passphrase für LUKS eingegeben werden. Das ist doof, wenn der Rechner woanders steht. Daher die Frage:
Welche Möglichkeiten gibt es, openSUSE ab Leap als verschlüsseltes System remote (per SSH) zu wecken und hochzufahren? (Nur via Netzwerkkabel.)
In meinen Recherchen habe ich u.a. Dropbear gesehen, nur scheint es das nicht als Suse-Repo/-Paket zu geben, und wenn ich das händisch installiere, laufe ich Gefahr, dass es nach dem nächsten Update/Upgrade nicht mehr funktioniert. Ausserdem, scheint das eh nicht mit einer Vollverschlüsselung, wie dem Standard Suse LVM, zu funktionieren.
Eigentlich hätte ich ja nach so vielen Jahren, nach Snowden, NSA und Co. Skandalen schon eine nutzbare Lösung erwartet... Oder habe ich was übersehen?
Schonmal danke für eure vielen Anregungen. :-)
vllt. hilft ja das Repo https://software.opensuse.org/download.html?project=network&package=dropbear Anleitung https://www.thomas-krenn.com/de/wiki/Voll-verschl%C3%BCsseltes-System_via_SS... hth max
Tschö' Sue
-- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 06.03.2019 um 07:50 schrieb max@freecards.de:
Repo https://software.opensuse.org/download.html?project=network&package=dropbear
Kannte ich noch nicht, danke.
Anleitung https://www.thomas-krenn.com/de/wiki/Voll-verschl%C3%BCsseltes-System_via_SS...
Ja, aber[TM] Suse baut die initrd mit dracut, diese Anleitung läßt sich kaum übertragen. Habe mal in die Configs geguckt, brrr. Bis ich da durchsteige bin ich Uhroma... Tschö' Sue -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 06.03.2019 um 13:13 schrieb suse:
Am 06.03.2019 um 07:50 schrieb max@freecards.de:
Repo https://software.opensuse.org/download.html?project=network&package=dropbear
Kannte ich noch nicht, danke.
Hmmm, bevor hier herumgenörgelt wird, dass Dropbear nicht mehr verfügbar ist bzw. zu alt ist, sollte jeder mal auf software.opensuse.org das gewünschte Paket zur Suche eingeben (in diesem Falle Dropbear) DAS kann doch nun nicht so schwer sein
Anleitung https://www.thomas-krenn.com/de/wiki/Voll-verschl%C3%BCsseltes-System_via_SS...
Ja, aber[TM]
Suse baut die initrd mit dracut, diese Anleitung läßt sich kaum übertragen. Habe mal in die Configs geguckt, brrr. Bis ich da durchsteige bin ich
Tja, von nix kommt nix
Uhroma... Wie sieht denn eine Uhroma aus ??? LOL
Manfred -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am 06.03.2019 um 14:51 schrieb Manfred Kreisl:
Hmmm, bevor hier herumgenörgelt wird, dass Dropbear nicht mehr verfügbar ist bzw. zu alt ist, sollte jeder mal auf software.opensuse.org das gewünschte Paket zur Suche eingeben (in diesem Falle Dropbear) DAS kann doch nun nicht so schwer sein
Naja, so doof bin ich dann doch noch nicht. ;-) * "Es wurden keine Pakete gefunden, die Ihrer Suchanfrage entsprechen." https://software.opensuse.org/search?utf8=%E2%9C%93&baseproject=openSUSE%3ALeap%3A15.0&q=Dropbear * "Gerade mal Versuchspakete" https://software.opensuse.org/package/dropbear Vielleicht sollte das openSUSE-Projekt mal etwas Zeit mit Ausmisten und Aufräumen verbringen. Scheint zu viele unterschiedliche Datenquellen zu geben. :-/ Drum lohnt sich ja immer eine Zweit-, und Drittmeinung. :-) Tschö' Sue -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am Wed, 6 Mar 2019 15:07:42 +0100 schrieb suse <suse@fkn-systems.de>: Hallo Sue!
* "Gerade mal Versuchspakete" https://software.opensuse.org/package/dropbear Keine Angst vor vor "experimental packages". ;-) Ich benutze die sehr viel, wobei es nur extrem selten hakt. Das ist, über die Jahre betrachtet, deutlich besser geworden.
Drum lohnt sich ja immer eine Zweit-, und Drittmeinung. :-) Das kann nie verkehrt sein. ;-)
Viele Grüße Matthias -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Hallo, Am Wed, 6 Mar 2019 15:07:42 +0100 schrieb suse <suse@fkn-systems.de>:
Am 06.03.2019 um 14:51 schrieb Manfred Kreisl:
Hmmm, bevor hier herumgenörgelt wird, dass Dropbear nicht mehr verfügbar ist bzw. zu alt ist, sollte jeder mal auf software.opensuse.org das gewünschte Paket zur Suche eingeben (in diesem Falle Dropbear) DAS kann doch nun nicht so schwer sein
Naja, so doof bin ich dann doch noch nicht. ;-)
* "Es wurden keine Pakete gefunden, die Ihrer Suchanfrage entsprechen." https://software.opensuse.org/search?utf8=%E2%9C%93&baseproject=openSUSE%3ALeap%3A15.0&q=Dropbear
Das erklärt es vielleicht: <https://doc.opensuse.org/release-notes/x86_64/openSUSE/Leap/42.2/>: "2.1.1 Removed and Replaced Packages The following packages have been removed or replaced compared to openSUSE Leap 42.1: ... dropbear: Removed because there are no relevant advantages over openssh."
* "Gerade mal Versuchspakete" https://software.opensuse.org/package/dropbear
Gruß Willi -- openSUSE Tumbleweed 20190307 GNU/Linux 4.20.13-1-default x86_64 -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
Am Wed, 6 Mar 2019 14:51:38 +0100 schrieb Manfred Kreisl <ml4km@arcor.de>: Hallo Manfred!
Hmmm, bevor hier herumgenörgelt wird, Feststellungen sind kein Nörgeln, auch wenn sie sich beim genaueren Überprüfen als falsch erweisen.
sollte jeder mal auf software.opensuse.org das gewünschte Paket zur Suche eingeben (in diesem Falle Dropbear) Trotzdem Asche auf mein Haupt. Das Paket existiert tatsächlich, und ich mußte ein eigenartiges Verhalten der Suchmaske auf software.opensuse.org bei mir feststellen:
Start der Suche mit "All Distributions" --> kein Ergebnis. Umschalten auf eine bestimmt Distribution s.u.: No packages found matching your search. You could try to extend your search to development packages or search for another base distribution (currently openSUSE:Leap:42.3). obwohl es das Paket dort gibt. Zurückschalten auf "All Distributions" bringt ein positives Suchergebnis und von da an auch bei einzelnen Distributionen. Seltsam aber wieder was dazugelernt. Viele Grüße Matthias -- Um die Liste abzubestellen, schicken Sie eine Mail an: opensuse-de+unsubscribe@opensuse.org Um den Listen Administrator zu erreichen, schicken Sie eine Mail an: opensuse-de+owner@opensuse.org
participants (5)
-
Manfred Kreisl -
Matthias -
max@freecards.de -
suse -
Wilhelm Boltz