История началась давно, еще при выходе Centos 7 (RHEL 7). Если вы использовали шифрование на дисках с Centos 6, то не было никаких проблем с автоматической разблокировкой дисков при подключении USB флешки с нужными ключами. Однако, при выходе 7-ки внезапно все не работало как вы привыкли. Тогда можно было найти решение в возврате dracut к sysvinit с помощью незамысловатой строчки в конфиге: echo 'omit_dracutmodules+=" systemd "' > /etc/dracut.conf.d/luks-workaround.conf
Что сразу лишало нас всей прелести systemd — быстрый и параллельный запуск системных служб, что значительно сокращало время запуска системы.
Воз и ныне там: 905683
Не дождавшись решения, я сделал его для себя сам, а теперь делюсь и с общественностью, кому интересно, читайте дальше.
Systemd, когда я только начал работать с Centos 7 не вызвал никаких эмоций, так как кроме незначительного изменения в синтаксисе управления службами, я не почувствовал вначале особой разницы. Впоследствии systemd мне понравился, но первое впечатление было немного подпорчено, так как разработчики dracut не особо уделяли время на поддержку процесса загрузки с помощью systemd совместно с шифрованием дисков. В целом оно работало, но вводить пароль от диска при каждом зауске сервера — не самое интересное занятие.
Опробовав кучу рекомендаций и учитавшись мануалом я понял, что в режиме systemd возможна конфигурация с USB, но только при ручной ассоциации каждого диска с ключем на USB диске, причем сам USB диск можно связать только по его UUID, LABEL не работал. Поддерживать такое у себя было не очень удобно, поэтому в итоге я погрузился в ожидание и, прождав без малого 7 лет, я понял — никто не собирается решать проблему.
Конечно, написать свой плагин к dracut может почти каждый, но сделать его рабочим уже не так просто. Оказалось, что за счет параллельной природы запуска systemd сделать включение своего кода и поменять ход загрузки не так и легко. Документация к dracut поясняла далеко не все. Однако вследствии длительных эксперементов я смог решить задачу.
В основе лежит три юнита:
И luks-auto-generator.sh — скрипт, который запускается systemd и осуществляет генерацию юнитов на основе параметров ядра. Аналогичные генераторы создают юниты fstab и т.п.
С помощью drop-in.conf меняется поведение стандартных systemd-cryptsetup, добавляя им в зависимость luks-auto.target.
Этот юнит запускает скрипт luks-auto-key.sh, который, основываясь на ключах rd.luks.*, находит носители с ключами и копирует их во временный каталог для дальнейшего использования. После завершения процесса, ключи из временного каталога удаляет luks-auto-clean.service.
Github: MagicGTS/dracut-luks-autounlock
Для удобства я сохранил совместимость с параметрами командной строки ядра как для режима sysvinit, что облегчает использование в старых инсталляция.
Что сразу лишало нас всей прелести systemd — быстрый и параллельный запуск системных служб, что значительно сокращало время запуска системы.
Воз и ныне там: 905683
Не дождавшись решения, я сделал его для себя сам, а теперь делюсь и с общественностью, кому интересно, читайте дальше.
Введение
Systemd, когда я только начал работать с Centos 7 не вызвал никаких эмоций, так как кроме незначительного изменения в синтаксисе управления службами, я не почувствовал вначале особой разницы. Впоследствии systemd мне понравился, но первое впечатление было немного подпорчено, так как разработчики dracut не особо уделяли время на поддержку процесса загрузки с помощью systemd совместно с шифрованием дисков. В целом оно работало, но вводить пароль от диска при каждом зауске сервера — не самое интересное занятие.
Опробовав кучу рекомендаций и учитавшись мануалом я понял, что в режиме systemd возможна конфигурация с USB, но только при ручной ассоциации каждого диска с ключем на USB диске, причем сам USB диск можно связать только по его UUID, LABEL не работал. Поддерживать такое у себя было не очень удобно, поэтому в итоге я погрузился в ожидание и, прождав без малого 7 лет, я понял — никто не собирается решать проблему.
Проблемы
Конечно, написать свой плагин к dracut может почти каждый, но сделать его рабочим уже не так просто. Оказалось, что за счет параллельной природы запуска systemd сделать включение своего кода и поменять ход загрузки не так и легко. Документация к dracut поясняла далеко не все. Однако вследствии длительных эксперементов я смог решить задачу.
Как оно работает
В основе лежит три юнита:
- luks-auto-key.service — ищет накопители с ключами для LUKS
- luks-auto.target — выполняет роль зависимости для встроенных юнитов systemd-cryptsetup
- luks-auto-clean.service — очищает времнные файлы, созданные luks-auto-key.service
И luks-auto-generator.sh — скрипт, который запускается systemd и осуществляет генерацию юнитов на основе параметров ядра. Аналогичные генераторы создают юниты fstab и т.п.
luks-auto-generator.sh
С помощью drop-in.conf меняется поведение стандартных systemd-cryptsetup, добавляя им в зависимость luks-auto.target.
luks-auto-key.service и luks-auto-key.sh
Этот юнит запускает скрипт luks-auto-key.sh, который, основываясь на ключах rd.luks.*, находит носители с ключами и копирует их во временный каталог для дальнейшего использования. После завершения процесса, ключи из временного каталога удаляет luks-auto-clean.service.
Исходники:
Github: MagicGTS/dracut-luks-autounlock
/usr/lib/dracut/modules.d/99luks-auto/module-setup.sh
#!/bin/bash
check () {
if ! dracut_module_included "systemd"; then
"luks-auto needs systemd in the initramfs"
return 1
fi
return 255
}
depends () {
echo "systemd"
return 0
}
install () {
inst "$systemdutildir/systemd-cryptsetup"
inst_script "$moddir/luks-auto-generator.sh" "$systemdutildir/system-generators/luks-auto-generator.sh"
inst_script "$moddir/luks-auto-key.sh" "/etc/systemd/system/luks-auto-key.sh"
inst_script "$moddir/luks-auto.sh" "/etc/systemd/system/luks-auto.sh"
inst "$moddir/luks-auto.target" "${systemdsystemunitdir}/luks-auto.target"
inst "$moddir/luks-auto-key.service" "${systemdsystemunitdir}/luks-auto-key.service"
inst "$moddir/luks-auto-clean.service" "${systemdsystemunitdir}/luks-auto-clean.service"
ln_r "${systemdsystemunitdir}/luks-auto.target" "${systemdsystemunitdir}/initrd.target.wants/luks-auto.target"
ln_r "${systemdsystemunitdir}/luks-auto-key.service" "${systemdsystemunitdir}/initrd.target.wants/luks-auto-key.service"
ln_r "${systemdsystemunitdir}/luks-auto-clean.service" "${systemdsystemunitdir}/initrd.target.wants/luks-auto-clean.service"
}
/usr/lib/dracut/modules.d/99luks-auto/luks-auto-generator.sh
#!/bin/sh
# -*- mode: shell-script; indent-tabs-mode: nil; sh-basic-offset: 4; -*-
# ex: ts=8 sw=4 sts=4 et filetype=sh
. /lib/dracut-lib.sh
SYSTEMD_RUN='/run/systemd/system'
CRYPTSETUP='/usr/lib/systemd/systemd-cryptsetup'
TOUT=$(getargs rd.luks.key.tout)
if [ ! -z "$TOUT" ]; then
mkdir -p "${SYSTEMD_RUN}/luks-auto-key.service.d"
cat > "${SYSTEMD_RUN}/luks-auto-key.service.d/drop-in.conf" <<EOF
[Service]
Type=oneshot
ExecStartPre=/usr/bin/sleep $TOUT
EOF
fi
mkdir -p "$SYSTEMD_RUN/luks-auto.target.wants"
for argv in $(getargs rd.luks.uuid -d rd_LUKS_UUID); do
_UUID=${argv#luks-}
_UUID_ESC=$(systemd-escape -p $_UUID)
mkdir -p "${SYSTEMD_RUN}/systemd-cryptsetup@luks\x2d${_UUID_ESC}.service.d"
cat > "${SYSTEMD_RUN}/systemd-cryptsetup@luks\x2d${_UUID_ESC}.service.d/drop-in.conf" <<EOF
[Unit]
After=luks-auto.target
ConditionPathExists=!/dev/mapper/luks-${_UUID}
EOF
cat > "${SYSTEMD_RUN}/luks-auto@${_UUID_ESC}.service" <<EOF
[Unit]
Description=luks-auto Cryptography Setup for %I
DefaultDependencies=no
Conflicts=umount.target
IgnoreOnIsolate=true
Before=luks-auto.target
BindsTo=dev-disk-by\x2duuid-${_UUID_ESC}.device
After=dev-disk-by\x2duuid-${_UUID_ESC}.device luks-auto-key.service
Before=umount.target
[Service]
Type=oneshot
RemainAfterExit=yes
TimeoutSec=0
ExecStart=/etc/systemd/system/luks-auto.sh ${_UUID}
ExecStop=$CRYPTSETUP detach 'luks-${_UUID}'
Environment=DRACUT_SYSTEMD=1
StandardInput=null
StandardOutput=syslog
StandardError=syslog+console
EOF
ln -fs ${SYSTEMD_RUN}/luks-auto@${_UUID_ESC}.service $SYSTEMD_RUN/luks-auto.target.wants/luks-auto@${_UUID_ESC}.service
done
/usr/lib/dracut/modules.d/99luks-auto/luks-auto-key.service
[Unit]
Description=LUKS AUTO key searcher
After=cryptsetup-pre.target
Before=luks-auto.target
DefaultDependencies=no
[Service]
Environment=DRACUT_SYSTEMD=1
Type=oneshot
ExecStartPre=/usr/bin/sleep 1
ExecStart=/etc/systemd/system/luks-auto-key.sh
RemainAfterExit=true
StandardInput=null
StandardOutput=syslog
StandardError=syslog+console
/usr/lib/dracut/modules.d/99luks-auto/luks-auto-key.sh
#!/bin/sh
# -*- mode: shell-script; indent-tabs-mode: nil; sh-basic-offset: 4; -*-
# ex: ts=8 sw=4 sts=4 et filetype=sh
export DRACUT_SYSTEMD=1
. /lib/dracut-lib.sh
MNT_B="/tmp/luks-auto"
ARG=$(getargs rd.luks.key)
IFS=$':' _t=(${ARG})
KEY=${_t[0]}
F_FIELD=''
F_VALUE=''
if [ ! -z $KEY ] && [ ! -z ${_t[1]} ];then
IFS=$'=' _t=(${_t[1]})
F_FIELD=${_t[0]}
F_VALUE=${_t[1]}
F_VALUE="${F_VALUE%\"}"
F_VALUE="${F_VALUE#\"}"
fi
mkdir -p $MNT_B
finding_luks_keys(){
local _DEVNAME=''
local _UUID=''
local _TYPE=''
local _LABEL=''
local _MNT=''
local _KEY="$1"
local _F_FIELD="$2"
local _F_VALUE="$3"
local _RET=0
blkid -s TYPE -s UUID -s LABEL -u filesystem | grep -v -E -e "TYPE=\".*_member\"" -e "TYPE=\"crypto_.*\"" -e "TYPE=\"swap\"" | while IFS=$'' read -r _line; do
IFS=$':' _t=($_line);
_DEVNAME=${_t[0]}
_UUID=''
_TYPE=''
_LABEL=''
_MNT=''
IFS=$' ' _t=(${_t[1]});
for _a in "${_t[@]}"; do
IFS=$'=' _v=(${_a});
temp="${_v[1]%\"}"
temp="${temp#\"}"
case ${_v[0]} in
'UUID')
_UUID=$temp
;;
'TYPE')
_TYPE=$temp
;;
'LABEL')
_LABEL=$temp
;;
esac
done
if [ ! -z "$_F_FIELD" ];then
case $_F_FIELD in
'UUID')
[ ! -z "$_F_VALUE" ] && [ "$_UUID" != "$_F_VALUE" ] && continue
;;
'LABEL')
[ ! -z "$_F_VALUE" ] && [ "$_LABEL" != "$_F_VALUE" ] && continue
;;
*)
[ "$_DEVNAME" != "$_F_FIELD" ] && continue
;;
esac
fi
_MNT=$(findmnt -n -o TARGET $_DEVNAME)
if [ -z "$_MNT" ]; then
_MNT=${MNT_B}/KEY-${_UUID}
mkdir -p "$_MNT" && mount -o ro "$_DEVNAME" "$_MNT"
_RET=$?
else
_RET=0
fi
if [ "${_RET}" -eq 0 ] && [ -f "${_MNT}/${_KEY}" ]; then
cp "${_MNT}/${_KEY}" "$MNT_B/${_UUID}.key"
info "Found ${_MNT}/${_KEY} on ${_UUID}"
fi
if [[ "${_MNT}" =~ "${MNT_B}" ]]; then
umount "$_MNT" && rm -rfd --one-file-system "$_MNT"
fi
done
return 0
}
finding_luks_keys $KEY $F_FIELD $F_VALUE
/usr/lib/dracut/modules.d/99luks-auto/luks-auto.target
[Unit]
Description=LUKS AUTO target
After=systemd-readahead-collect.service systemd-readahead-replay.service
After=cryptsetup-pre.target luks-auto-key.service
Before=cryptsetup.target
/usr/lib/dracut/modules.d/99luks-auto/luks-auto.sh
#!/bin/sh
# -*- mode: shell-script; indent-tabs-mode: nil; sh-basic-offset: 4; -*-
# ex: ts=8 sw=4 sts=4 et filetype=sh
export DRACUT_SYSTEMD=1
. /lib/dracut-lib.sh
MNT_B="/tmp/luks-auto"
CRYPTSETUP='/usr/lib/systemd/systemd-cryptsetup'
for i in $(ls -p $MNT_B | grep -v /);do
info "Trying $i on $1..."
$CRYPTSETUP attach "luks-$1" "/dev/disk/by-uuid/$1" $MNT_B/$i 'tries=1'
if [ "$?" -eq "0" ]; then
info "Found $i for $1"
exit 0
fi
done
warn "No key found for $1. Fallback to passphrase mode."
/usr/lib/dracut/modules.d/99luks-auto/luks-auto-clean.service
[Unit]
Description=LUKS AUTO key cleaner
After=cryptsetup.target
DefaultDependencies=no
[Service]
Type=oneshot
ExecStart=/usr/bin/rm -rfd --one-file-system /tmp/luks-auto
/etc/dracut.conf.d/luks-auto.conf
add_dracutmodules+=" luks-auto "
Установка
mkdir -p /usr/lib/dracut/modules.d/99luks-auto/
# размещаем тут почти все файлы
chmod +x /usr/lib/dracut/modules.d/99luks-auto/*.sh
# создаем файл /etc/dracut.conf.d/luks-auto.conf
# И генерируем новый initramfs
dracut -f
Заключение
Для удобства я сохранил совместимость с параметрами командной строки ядра как для режима sysvinit, что облегчает использование в старых инсталляция.
