staging.inyokaproject.org

BillMaier schrieb:

1. /etc/dropbear/initramfs/authorized_keys → werden hier entsprechende Dateirechte vorausgesetzt, wie das bei ~/.ssh/authorized_keys der Fall ist? Das könnte hier noch ergänzt werden.

Offenbar werden die nicht vorausgesetzt, aber aus Sicherheitsgründen ist es sinnvoll, diese so zu setzen. Das habe ich nun ergänzt.

1. Aus meiner Sicht sollte der Artikel eine "Fortgeschritten"-Box bekommen.

Ist doch schon drin.

Ich verstehe nicht ganz, was das für Änderungen sind, nach der die Dateien für initramfs neu erstellt werden müssen.

Habe ich außerdem richtig verstanden, dass alle Änderungen, die im Artikel stehen, am verschlüsselten System vorgenommen werden? Oder bezieht sich das auf das System, wovon aus SSH genutzt wird?

Nach meinem Kenntnisstand (ich bin da eher noob) muss beim Ändern der Schlüssel initramfs neu gebaut werden. Ebenso beim Änderung der eigentlichen initramfs-Konfiguration (unabhängig vom Dropbear).

Alle Änderungen finden am verschlüsselten System statt.

Sollte Ersteres nicht so oder so ähnlich erwähnt werden? Denn ich glaube selbst fortgeschrittene Anwender können sich das nicht unbedingt denken.

Nach meinem Verständnis (welches schlecht sein mag) gehören die Abschnitte

• Schlüssel kopieren

• Netzwerk-Konfiguration

• Port ändern

als Unterpunkte unter Konfiguration.

Der einleitende Satz

Nach jeder Änderung müssen die Dateien für initramfs neu erstellt werden. Dies kann durch folgenden dpkg-Befehl für Dropbear erledigt werden.

nebst angegebenem Befehl im Abschnitt Konfiguration ist für mich mysteriös. Welche Änderungen sind gemeint, da im Artikel bis hierher noch gar keine angeben wurden? Warum dpkg-reconfigure?

Der am Ende der Netzwerk-Konfiguration stehende Text

Nun muss wieder eine Aktualisierung des initramfs durchgeführt werden:

sudo update-initramfs -u 

müsste nicht bei dieser spezifischen Änderung, sondern am Ende aller benötigten Änderungen stehen, da hiermit ja die initrd.img erstellt wird. Oder soll man erst dpkg-reconfigure und dann update-initramfs ausführen?

Beim Bootvorgang ist die Rede von einem Monitor, auf dem die Kennwortabfrage erscheint. Welcher Monitor ist gemeint? Ein lokal am bootenden System angeschlossener Monitor, vor dem niemand sitzt und der bei einem Server vielleicht auch gar nicht existiert? Wie erfährt der Administrator im trauten Homeoffice, der jedenfalls nicht vor dem in der Regel nicht existierendem lokalem Bildschirm des fernen Servers sitzt, dass nun dropbear auf eine Eingabe wartet? Was passiert, wenn diese Eingabe nicht kommt? Trollt dropbear sich dann von dannen? Warum eigentlich dropbear?

Und wie ist die Datei initrd.img gesichert? Besser als gar nicht oder gar überhaupt nicht?

Und wenn man sich schon die verdienstvolle Mühe macht, diesen ganz gewiss nicht trivialen Artikel zu aktualisieren, wäre dann nicht auch ein länger gültiger Test mit einer LTS-Version sinnvoll?

kB schrieb:

Nach meinem Verständnis (welches schlecht sein mag) gehören die Abschnitte

• Schlüssel kopieren

• Netzwerk-Konfiguration

• Port ändern

als Unterpunkte unter Konfiguration.

+1, das war mir auch aufgefallen.

Der einleitende Satz

Nach jeder Änderung müssen die Dateien für initramfs neu erstellt werden. Dies kann durch folgenden dpkg-Befehl für Dropbear erledigt werden.

nebst angegebenem Befehl im Abschnitt Konfiguration ist für mich mysteriös. Welche Änderungen sind gemeint, da im Artikel bis hierher noch gar keine angeben wurden? Warum dpkg-reconfigure?

DJKUhpisse schrieb:

Nach meinem Kenntnisstand (ich bin da eher noob) muss beim Ändern der Schlüssel initramfs neu gebaut werden. Ebenso beim Änderung der eigentlichen initramfs-Konfiguration (unabhängig vom Dropbear).

Beim Bootvorgang ist die Rede von einem Monitor, auf dem die Kennwortabfrage erscheint. Welcher Monitor ist gemeint? Ein lokal am bootenden System angeschlossener Monitor, vor dem niemand sitzt und der bei einem Server vielleicht auch gar nicht existiert? Wie erfährt der Administrator im trauten Homeoffice, der jedenfalls nicht vor dem in der Regel nicht existierendem lokalem Bildschirm des fernen Servers sitzt, dass nun dropbear auf eine Eingabe wartet? Was passiert, wenn diese Eingabe nicht kommt? Trollt dropbear sich dann von dannen? Warum eigentlich dropbear?

Es muss ja nicht eine grafische Kennwortabfrage gemeint sein.

kB schrieb:

Nach meinem Verständnis (welches schlecht sein mag) gehören die Abschnitte

• Schlüssel kopieren

• Netzwerk-Konfiguration

• Port ändern

als Unterpunkte unter Konfiguration.

Umgesetzt.

Der einleitende Satz

Nach jeder Änderung müssen die Dateien für initramfs neu erstellt werden. Dies kann durch folgenden dpkg-Befehl für Dropbear erledigt werden.

nebst angegebenem Befehl im Abschnitt Konfiguration ist für mich mysteriös. Welche Änderungen sind gemeint, da im Artikel bis hierher noch gar keine angeben wurden? Warum dpkg-reconfigure?

Wenn was an der initramfs-Konfiguration geändert wird, muss das Image neu erstellt werden. Die Skripte des dropbear-initramfs-Pakets erledigen das.

Der am Ende der Netzwerk-Konfiguration stehende Text

Nun muss wieder eine Aktualisierung des initramfs durchgeführt werden:

sudo update-initramfs -u 

müsste nicht bei dieser spezifischen Änderung, sondern am Ende aller benötigten Änderungen stehen, da hiermit ja die initrd.img erstellt wird. Oder soll man erst dpkg-reconfigure und dann update-initramfs ausführen?

Wäre für die Änderung am initramfs redundant.

Beim Bootvorgang ist die Rede von einem Monitor, auf dem die Kennwortabfrage erscheint. Welcher Monitor ist gemeint? Ein lokal am bootenden System angeschlossener Monitor, vor dem niemand sitzt und der bei einem Server vielleicht auch gar nicht existiert? Wie erfährt der Administrator im trauten Homeoffice, der jedenfalls nicht vor dem in der Regel nicht existierendem lokalem Bildschirm des fernen Servers sitzt, dass nun dropbear auf eine Eingabe wartet? Was passiert, wenn diese Eingabe nicht kommt? Trollt dropbear sich dann von dannen? Warum eigentlich dropbear?

Davon erfährt niemand etwas. Nach einem Neustart muss man eben warten, bis Dropbear aktiv ist und man darüber entsperren kann. Macht man dies nicht, läuft das so lange, bis irgendwann der Container geöffnet wird. So ist es auch ohne Dropbear.

Und wie ist die Datei initrd.img gesichert? Besser als gar nicht oder gar überhaupt nicht?

lrwxrwxrwx  1 root root        28 Okt 19 13:02 initrd.img -> initrd.img-5.15.0-52-generic
-rw-r--r--  1 root root 107179935 Okt 26 08:59 initrd.img-5.15.0-50-generic
-rw-r--r--  1 root root 107197958 Nov  3 19:37 initrd.img-5.15.0-52-generic

Die gehört root und darf nur von dem geändert werden. Hat mit Dropbear aber direkt nichts zu tun.

DJKUhpisse schrieb:

[…] Wenn was an der initramfs-Konfiguration geändert wird, muss das Image neu erstellt werden.

Richtig. Für die initrd.img verwendet man ein geeignetes Framework. Ubuntu verwendet initramfs-tools. Und die praktische Erzeugung der Datei initrd.img erfolgt mit update-initramfs.

Die Skripte des dropbear-initramfs-Pakets erledigen das.

Wenn das wirklich zutreffen würde, wäre es schlimm! Fuscht dropbear wirklich selbst in der initrd.img herum?

Das Paket dropbear-initramfs triggert update-initramfs.

activate-noawait update-initramfs

Befindet sich in der Datei triggers in control.tar.zst vom DEB-Paket.

Der Artikel ist jetzt wieder ins Wiki verschoben. (HINT: Bitte verzichte auf diese Statusmeldung nicht)