dropbear-initramfs und Debian Buster

[d8072666]

Guten Abend,

ich lese schon seit einiger Zeit hier mit, hatte aber eigentlich mit Debian nie Probleme - bis jetzt.

Ich richte mir gerade eine neue Nextcloudinstanz auf einem Debian Buster Server ein. Ich habe den Server mit verschlüsseltem LVM konfiguriert und möchte diesen nun per SSH (Dropbear) entsperrbar machen.

Was unter Debian 8 und 9 perfekt funktionierte, scheitert allerdings unter Debian 10 bei mir kläglich. Leider ist dieses System noch zu neu, deshalb gibt es auch bei Google nix und hier im Forum hat auch niemand das passende Problem gehabt:

Im Initramfs kommt keine Netzwerkverbindung zustande, ich muss also per VNC auf den Server und dort manuell entsperren.

Was ich bisher gemacht habe:

dropbear-initramfs installiert, konfiguriert, ssh keys erstellt, authorized_keys mit 0600 erstellt.

dropbear-initramfs/config:

Code: Alles auswählen

#
# Configuration options for the dropbear-initramfs boot scripts.
# You must run update-initramfs(8) to effect changes to this file (like
# for other files under the '/etc/dropbear-initramfs' directory).

#
# Command line options to pass to dropbear(8)
#
DROPBEAR_OPTIONS=""

#
# On local (non-NFS) mounts, interfaces matching this pattern are
# brought down before exiting the ramdisk to avoid dirty network
# configuration in the normal kernel.
# The special value 'none' keeps all interfaces up and preserves routing
# tables and addresses.
#
#IFDOWN=*

Hier meine initramfs.conf, hier habe ich die passage "IP..." eingefügt:

Code: Alles auswählen

# initramfs.conf
# Configuration file for mkinitramfs(8). See initramfs.conf(5).
#
# Note that configuration options from this file can be overridden
# by config files in the /etc/initramfs-tools/conf.d directory.

#
# MODULES: [ most | netboot | dep | list ]
#
# most - Add most filesystem and all harddrive drivers.
#
# dep - Try and guess which modules to load.
#
# netboot - Add the base modules, network modules, but skip block devices.
#
# list - Only include modules from the 'additional modules' list
#

MODULES=most
#
# BUSYBOX: [ y | n | auto ]
#
# Use busybox shell and utilities.  If set to n, klibc utilities will be used.
# If set to auto (or unset), busybox will be used if installed and klibc will
# be used otherwise.
#
BUSYBOX=y
#
# KEYMAP: [ y | n ]
#
# Load a keymap during the initramfs stage.
#
KEYMAP=n
#
# COMPRESS: [ gzip | bzip2 | lz4 | lzma | lzop | xz ]
#
COMPRESS=gzip
#
# NFS Section of the config.
#
# Specify a specific network interface, like eth0
# Overridden by optional ip= or BOOTIF= bootarg
#
DEVICE=ens3
IP=194.55.13.230::194.55.12.1:255.255.255.0::ens3:off
#
# NFSROOT: [ auto | HOST:MOUNT ]
#
NFSROOT=auto
#
# RUNSIZE: ...
#
# The size of the /run tmpfs mount point, like 256M or 10%
# Overridden by optional initramfs.runsize= bootarg
#
RUNSIZE=10%
# enable dropbear explicitly
DROPBEAR=y

Dies hat nicht funktioniert. Im Initramfs kommen folgende Fehler:

Code: Alles auswählen

SIOCADDRT: Network is unreachable
IP-Config: failed to set routes on ens3
IP-Config: ens3 complete: blablabla
	address: hier steht die korrekte ip
	gateway: hier steht auch die korrekte ip

Wenn ich den Weg über Grub oder über beides versuche, also in der /etc/default/grub

Code: Alles auswählen

GRUB_CMDLINE_LINUX_DEFAULT="quiet ip=[IP Adresse]::[Gateway]:255.255.255.0"

Passiert genau das selbe mit den selben Fehlermeldungen. Lasse ich es auf DHCP, klappt es auch nicht...Fehlermeldung sagt "giving up".

Also, ich bin mit meinem Latein am Ende. Habt ihr noch eine Idee? Irgendwie scheint sich das Verhalten von Buster im Vergleich zu Jessie oder Stretch geändert zu haben.

Hintergrundinfo: Der Server ist ein Rootserver bei Netcup, KVM Virtualisiertung. Es macht auch keinen Unterschied ob ich virtio, e1000 oder andere NIC Treiber nutze, es liegt auch nicht an den modulen dafür (habe ich in die modules bei der initramfs konfiguration geladen - kein Unterschied).

Für etwas Hilfestellung wäre ich sehr dankbar

[eggy]

Ja, da war was. Was genau passiert ist, ka.
Wenn möglich, versuchs mal damit, das Device in beiden Einträgen freizulassen:

Code: Alles auswählen

DEVICE=
IP=192.168.1.2:::255.255.255.0:::off

Doku sagt zwar "DEVICE - Specifies the default network interface to use, like eth0. The ip or BOOTIF bootargs may override this." aber hier hat er weder auf ethX noch en$irgendwas richtig reagiert, nur komplett ohne ging es dann. Wenn Du Glück hast, nimmt er zufällig das richtige Gerät. Vielleicht setzt er da ja auch auf allen Devices die selbe IP? Keine Ahnung, ich hab nicht weiter nachgeforscht, kannst ja mal Rückmeldung geben, falls Du die Ursache finden solltest.

[antiplex]

EDIT: Meinen Teil konnte ich nach einigen Stunden des Herumprobierens schliesslich lösen, der nachfolgende Textblock ist somit in weiten Teilen hinfällig! Anscheinend war mein Ansatz zu unnötig kompliziert, letztendlich habe ich nun lediglich die module 'virtio, virtio_pci und virtio_net in /etc/initramfs-tools/modules eingetragen und mich darüber hinaus an die Schritte wie unter https://www.arminpech.de/2019/12/23/deb ... -dropbear/ beschrieben gehalten, womit das Entsperren des LUKS LVs über SSH nun vollumfänglich funktioniert.

Hallo d8072666 und andere debian-freunde,

ich bin auf das Posting gestoßen, weil ich gerade auch mit NetzWerk-Interface-Problemen im Zusammenhang mit Pre-Boot-Auth via Dropbear unter Buster auf einem Proxmox-VPS kämpfe (kein DHCP, IP muss/darf ich fest vorgeben).

Hierzu habe ich ein paar Fragen, zu allererst: Wurde das Problem evtl. zwischenzeitlich gelöst und wenn ja: wie?
Ich hatte es zunächst analog zur hier geschilderten Vorgehensweise versucht, doch konnte nicht per SSH zur Entsperrung connecten.

Bei der Suche nach Lösungsmöglichkeiten bin ich unter anderem auf den auf Ubuntu 18.04 bezogenen Post https://hamy.io/post/0009/how-to-instal ... unlocking/ gestoßen, wo ein paar abweichende Lösungsvarianten beschrieben werden.
Dies hat bei mir bislang allerdings auch nicht den ersehnten Erfolg gebracht (immer noch kein connect möglich).

Im OP lese ich:

[...] Im Initramfs kommen folgende Fehler:

Code: Alles auswählen

SIOCADDRT: Network is unreachable
IP-Config: failed to set routes on ens3
IP-Config: ens3 complete: blablabla
	address: hier steht die korrekte ip
	gateway: hier steht auch die korrekte ip

[...]

Und frage mich, aus welcher Quelle (Log) diese Informationen stammen, da mir dies ggf. bestimmt auch weiter helfen könnte, kann mir da wer einen Tipp geben bitte?

Ich habe mittels monkey-Debugging in der dropbear-initramfs.config mittlerweile herausgefunden, dass das

Code: Alles auswählen

modprobe virtio

bei mir funktioniert (returncode 0 und in darauffolgendem

Code: Alles auswählen

lsmod

aufgelistet), ein darauffolgendes

Code: Alles auswählen

modprobe virtio_net

jedoch returncode 1 wirft und danach natürlich auch nicht geladen ist.
Da werde ich noch nicht schlau draus bzw. mir fehlen Ideen, woran es liegen könnte oder was ich falsch mache.
Eine Unverschlüsselte Buster-Test-Installation auf selbigem Host mit targeted-Modul Auswahl hatte kein e1000 modul, aber eben virtio und virtio_net erfolgreich geladen/konfiguriert, also nehme ich an, dass mein Hoster diese Variante fährt.

Daher meine weitere Frage bezüglich dem Abschnitt:

[...]Es macht auch keinen Unterschied ob ich virtio, e1000 oder andere NIC Treiber nutze, es liegt auch nicht an den modulen dafür (habe ich in die modules bei der initramfs konfiguration geladen - kein Unterschied).
[...]

Welche Module hast Du wie geladen und wie verifiziert, dass diese auch erfolgreich über die initramfs geladen werden?

Sonstige Ideen/Anregungen sind natürlich auch gerne wilkommen, kenne mich mit initramfs-Eigenheiten leider noch nicht sonderlich gut aus...

Grüße,
Anti

[j4nosch1337]

Hey zusammen,

ich muss den alten thread mal wieder hochholen da ich das selbe problem habe.

Ich habe auf einem VPS debian installiert (über vkvm gemountet in der rescue console) und habe debian installiert. Habe es dort verschlüsselt und im anschluss auch über die vkvm gebootet und dropbear nachinstalliert. wenn ich dann reboote habe ich keine möglichkeit mehr den server anzupingen geschweige denn zugriff auf den dropbear ssh zu kriegen. ip auf static in der initramfs habe ich getestet.

Ich hab das ganze in einer testinstanz unter proxmox versucht - da lief es direkt. ich hab auch bei dem besagten vps mal das ganze ohne verschlüsselung versucht und da bootet die selbstinsallierte debian version nachdem man den rescue modus aus gemacht hat.

hat einer ne idee was ich noch tun könnte?