axel
Boardveteran
- Registriert
- 9. September 2011
- Beiträge
- 11.341
- Lösungen
- 3
- Reaktionspunkte
- 42.964
- Punkte
- 473
- Ort
- Niederrhein
Teil 1 von 3
Hallo liebes DEB,
angelehnt an diese Anleitung: HowTo - Full-Encrypted Root Server
möchte ich Euch in diesem (aktualisiertem) Howto gerne folgende Installation präsentieren/zeigen.
Das Howto dreht sich um folgende Aspekte:
Ein Danke! vorab an @meister85 und @T1x.
########################################
Howtos:
HowTo - Full-Encrypted Root Server
HowTo - Simplebuild (2.34/1.41)
HowTo - Ubuntu Server 15.x --> Systemd Firewall Script / OpenVPN Routing
########################################
Dieses Howto erstelle ich auf Wunsch und Nachfragen diverser User und aufkommender Probleme bei der Installation -> Threads diesbezüglich.
Das ganze wurde auf einem Kimsufi-KS2 (
Ich füge Screenshots und Installationslogs verspoilert (von dem KS2^^) an.
So! :ja Nun aber genug des Geschwafels, ab dafür! :ja
########################################
Vorteile:
Zu Beginn gehen wir ins Webinterface unseres "Rootserver-Providers" und installieren ein Provider-Image (Debian), das sieht bei Kimsufi so aus:
Das dauert eine Weile, diese "Provider-Installation" benötigen wir vorab, um grundlegende Informationen über unseren Server zu bekommen, hier deaktivieren wir erstmal das Monitoring:
OK, ist der Server dann fertig installiert, loggen wir uns via Putty (
Folgende Informationen / Ausgaben speichern wir uns (Textdatei etc.) ab:
Wenn wir alles "zusammenhaben", gehen wir wieder zu unserem Provider-Webinterface und stellen den Bootvorgang/Netboot auf "Rescue-Modus" um:
Bei Kimsufi nennt sich die Geschichte "rescue-pro":
Das bestätigen wir und drücken danach auf "Neu starten".
Nach einem Augenblick ist der Server dann im "Rescue-Modus" gestartet, dieser erlaubt uns die Partitionierung und Vollverschlüsselung.
Wir fangen mit der Partitionierung an:
und wählen "gpt":
sda1
sda2
sda3
So schaut das am Ende korrekt aus:
Wenn wir die Partitionstabelle erfolgreich "geschrieben" haben, müssen wir selbige natürlich auch formatieren.
Zunächst die Boot-Partition:
Das wird unsere unverschlüsselte Partition für den Dropbear / Minimalsystem.
So schaut das aus:
Als nächstes die Systempartition. Zugleich wird diese auch verschlüsselt. Bitte erstellt hierfür ein Passwort mit mindestens einer Länge von 100 Zeichen. Ich nutze z.B. die Webseite
Nachdem das Passwort generiert ist geben wir folgenden Befehl ein:
Hier müssen wir mit YES (Achtung in Großbuchstaben!) bestätigen.
Dann das zuvor generierte Passwort eingeben.
Dann mit folgenden Befehl die Partition öffnen:
Und anschließend formatieren:
So schaut das aus:
Nun müssen die Verzeichnisse eingebunden werden:
Die Installation von Debian (in diesem Falle Jessie) erfolgt über Debootstrap.
Anschließend die Dateien entpacken:
Nun prüfen wir, ob der Inhalt des Pakets unverändert im Rettungssystem (Rescue) angekommen ist.
Um mit der Installation fortzufahren müssen wir den Quelltext ein wenig modifizieren:
Bitte folgende Zeilen abändern:
So schaut das aus:
Um sicherzugehen, dass nur offizielle Pakete ohne "Backdoors" auf dem neuen System installiert werden, müssen die Signaturen aller Pakete geprüft werden.
Nun wird die Installation (Jessie) gestartet:
Das Log dazu:
Anschließend ins chroot wechseln:
Achtung: Hierbei kommt am Ende folgende Fehlermeldung, welche wir pauschal ignorieren können:
Als nächstes ändern wir das Passwort für den Superuser "root":
Desweiteren legen wir einen User an -WICHTIG-:
("axfa77" natürlich mit dem gewünschten Usernamen ersetzen!)
So schaut das aus:
Jetzt kommen wir zu der Konfiguration des Basissystems. Hierzu benötigen wir nun die zuvor gesicherten Daten (unsere "Serverinfos").
Nun müssen wir die crypttab bzw. fstab abändern:
Dort bitte folgendes einpflegen:
Selbiges gilt für die fstab:
Jetzt noch die Paketliste anpassen:
Folgende Quellen fügen wir ein (Jessie):
EDIT: Latest Stable ("Stretch") ist als OK getestet:
HowTo - Rootserver mit Debian Jessie *FULL ENCRYPTED* inkl. Iptables-Firewall und Simplebuild
Als nächstes bearbeiten wir unsere /etc/resolv.conf, damit unser Rootserver auch alles findet im www:
(Hier ggfs. aus unseren "Serverinfos" anpassen)
Und aktualisieren:
Sprache und Zone anpassen:
Wir wählen folgende Einstellungen:
Als nächstes:
Jetzt installieren wir den Kernel.
Hierfür erstmal folgenden Befehl:
Und anschließend:
Installation von wichtigen Paketen:
Bei der Installation von Grub werdet Ihr gefragt, wohin es installiert werden soll. Da die meisten nur eine Festplatte nutzen, wählt Ihr bitte /dev/sda aus und bestätigt mit OK.
Jetzt muss der Remote-Unlock eingerichtet werden:
Nach DEVICE suchen und folgend ergänzen (aus unseren Serverinfos):
Änderungen in das initrd übernehmen:
Jetzt müssen wir den RSA-Key kopieren und am besten in notepad++ einfügen. Anschließend unter "id_rsa" abspeichern.
Jetzt müsst ihr Puttygen (
Anschließend auf "Save Privatekey".
Dieser ist für die Anmeldung notwendig.
Ohne diesen Schritt kommt Ihr nicht auf den Server!
(Ich habe hier noch einen "Passphrase" zusätzlich genommen, ist nicht! zwingend notwendig, könnt Ihr auch weglassen.)
Nun noch Grub updaten:
Nun wieder in das Webinterface vom Provider gehen und als Netboot die HDD wieder auswählen!
Anschließend wie gewohnt rebooten:
Nach einigen Minuten sollte der Server wieder hochgefahren sein.
Es steht Euch der Dropbear als SSH im unverschlüsselten Bereich zur Verfügung. Der Dropbear wird über den initrd-Daemon mitgeladen.
Um die Anmeldung erfolgreich abzuschließen benötigt Ihr den zuvor gespeicherten "Private Key"!
Nachdem Ihr Euch angemeldet habt, seid Ihr im unverschlüsselten minimal SSH (Dropbear) des Servers. Nun müsst Ihr folgenden Befehl eingeben:
Mit Enter bestätigen. Jetzt bootet der Server erst komplett durch.
Nun Putty schließen und erneut einloggen. Allerdings nicht mehr mit dem "Private Key" sondern mit eurem festgelegten Passwort und dem User "axfa77" bzw. Eurem angelegten "normalen User" (siehe Punkt passwd^^).
Superuser "root" werdet Ihr als User "axfa77" bzw. Eurem angelegten "normalen User" via:
:ja
Ich hoffe ich habe dem ein oder anderen damit etwas "Licht ins Dunkel" gebracht.
Weiter mit der Firewall via iptables geht es in "Teil 2 von 3".
Gruß
PS: Ich habe mal einen Laberthread hierzu erstellt damit das hier "sauber" bleibt:
Talk - Laberthread: Rootserver mit Debian Jessie *FULL ENCRYPTED* inkl. Iptables-Firewall...
Hallo liebes DEB,
angelehnt an diese Anleitung: HowTo - Full-Encrypted Root Server
möchte ich Euch in diesem (aktualisiertem) Howto gerne folgende Installation präsentieren/zeigen.
Das Howto dreht sich um folgende Aspekte:
- Angemieteten "Dedicated Rootserver" vollverschlüsseln via "Rescue-System"
- Iptables- (Firewall-)Skript zur Absicherung des Servers
- Installation Simplebuild zum "selbstbacken" von Oscam
Ein Danke! vorab an @meister85 und @T1x.
########################################
Howtos:
HowTo - Full-Encrypted Root Server
HowTo - Simplebuild (2.34/1.41)
HowTo - Ubuntu Server 15.x --> Systemd Firewall Script / OpenVPN Routing
########################################
Dieses Howto erstelle ich auf Wunsch und Nachfragen diverser User und aufkommender Probleme bei der Installation -> Threads diesbezüglich.
Das ganze wurde auf einem Kimsufi-KS2 (
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
; OVH-Tochter und relativ beliebt in der CS-Szene) beispielhaft durchgeführt.Ich füge Screenshots und Installationslogs verspoilert (von dem KS2^^) an.
So! :ja Nun aber genug des Geschwafels, ab dafür! :ja
########################################
Vorteile:
- Kein Realtime-Monitoring durch Provider
- Kein Provider-Kernel
- Download von Paketen nicht über Provider sondern direkt über Debian
- Direkter SSH-Zugang als Superuser root
- Möglichst unabhängig von Provider-Infrastruktur
- Minimalsystem
- Komplett verschlüsselter Root-Server mit Entschlüsselung über SSH
Zu Beginn gehen wir ins Webinterface unseres "Rootserver-Providers" und installieren ein Provider-Image (Debian), das sieht bei Kimsufi so aus:
Du musst dich
Anmelden
oder
Registrieren
um diesen Inhalt sichtbar zu machen!
Das dauert eine Weile, diese "Provider-Installation" benötigen wir vorab, um grundlegende Informationen über unseren Server zu bekommen, hier deaktivieren wir erstmal das Monitoring:
Du musst dich
Anmelden
oder
Registrieren
um diesen Inhalt sichtbar zu machen!
OK, ist der Server dann fertig installiert, loggen wir uns via Putty (
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
) ein.Folgende Informationen / Ausgaben speichern wir uns (Textdatei etc.) ab:
Code:
Du musst dich
Anmelden
oder
Registrieren um den Inhalt der Codes zu sehen!
Wenn wir alles "zusammenhaben", gehen wir wieder zu unserem Provider-Webinterface und stellen den Bootvorgang/Netboot auf "Rescue-Modus" um:
Du musst dich
Anmelden
oder
Registrieren
um diesen Inhalt sichtbar zu machen!
Bei Kimsufi nennt sich die Geschichte "rescue-pro":
Du musst dich
Anmelden
oder
Registrieren
um diesen Inhalt sichtbar zu machen!
Das bestätigen wir und drücken danach auf "Neu starten".
Nach einem Augenblick ist der Server dann im "Rescue-Modus" gestartet, dieser erlaubt uns die Partitionierung und Vollverschlüsselung.
Wir fangen mit der Partitionierung an:
Code:
Du musst dich
Anmelden
oder
Registrieren um den Inhalt der Codes zu sehen!
und wählen "gpt":
Du musst dich
Anmelden
oder
Registrieren
um diesen Inhalt sichtbar zu machen!
sda1
Code:
Du musst dich
Anmelden
oder
Registrieren um den Inhalt der Codes zu sehen!
sda2
Code:
Du musst dich
Anmelden
oder
Registrieren um den Inhalt der Codes zu sehen!
sda3
Code:
Du musst dich
Anmelden
oder
Registrieren um den Inhalt der Codes zu sehen!
So schaut das am Ende korrekt aus:
Du musst dich
Anmelden
oder
Registrieren
um diesen Inhalt sichtbar zu machen!
Wenn wir die Partitionstabelle erfolgreich "geschrieben" haben, müssen wir selbige natürlich auch formatieren.
Zunächst die Boot-Partition:
Code:
Du musst dich
Anmelden
oder
Registrieren um den Inhalt der Codes zu sehen!
Das wird unsere unverschlüsselte Partition für den Dropbear / Minimalsystem.
So schaut das aus:
Du musst dich
Anmelden
oder
Registrieren
um diesen Inhalt sichtbar zu machen!
Als nächstes die Systempartition. Zugleich wird diese auch verschlüsselt. Bitte erstellt hierfür ein Passwort mit mindestens einer Länge von 100 Zeichen. Ich nutze z.B. die Webseite
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
Nachdem das Passwort generiert ist geben wir folgenden Befehl ein:
Code:
Du musst dich
Anmelden
oder
Registrieren um den Inhalt der Codes zu sehen!
Hier müssen wir mit YES (Achtung in Großbuchstaben!) bestätigen.
Dann das zuvor generierte Passwort eingeben.
Dann mit folgenden Befehl die Partition öffnen:
Code:
Du musst dich
Anmelden
oder
Registrieren um den Inhalt der Codes zu sehen!
Und anschließend formatieren:
Code:
Du musst dich
Anmelden
oder
Registrieren um den Inhalt der Codes zu sehen!
So schaut das aus:
Du musst dich
Anmelden
oder
Registrieren
um diesen Inhalt sichtbar zu machen!
Nun müssen die Verzeichnisse eingebunden werden:
Code:
Du musst dich
Anmelden
oder
Registrieren um den Inhalt der Codes zu sehen!
Die Installation von Debian (in diesem Falle Jessie) erfolgt über Debootstrap.
Code:
Du musst dich
Anmelden
oder
Registrieren um den Inhalt der Codes zu sehen!
Anschließend die Dateien entpacken:
Code:
Du musst dich
Anmelden
oder
Registrieren um den Inhalt der Codes zu sehen!
Nun prüfen wir, ob der Inhalt des Pakets unverändert im Rettungssystem (Rescue) angekommen ist.
Code:
Du musst dich
Anmelden
oder
Registrieren um den Inhalt der Codes zu sehen!
Um mit der Installation fortzufahren müssen wir den Quelltext ein wenig modifizieren:
Code:
Du musst dich
Anmelden
oder
Registrieren um den Inhalt der Codes zu sehen!
Bitte folgende Zeilen abändern:
Code:
Du musst dich
Anmelden
oder
Registrieren um den Inhalt der Codes zu sehen!
So schaut das aus:
Du musst dich
Anmelden
oder
Registrieren
um diesen Inhalt sichtbar zu machen!
Um sicherzugehen, dass nur offizielle Pakete ohne "Backdoors" auf dem neuen System installiert werden, müssen die Signaturen aller Pakete geprüft werden.
Code:
Du musst dich
Anmelden
oder
Registrieren um den Inhalt der Codes zu sehen!
Nun wird die Installation (Jessie) gestartet:
Code:
Du musst dich
Anmelden
oder
Registrieren um den Inhalt der Codes zu sehen!
Das Log dazu:
Du musst dich
Anmelden
oder
Registrieren
um diesen Inhalt sichtbar zu machen!
Anschließend ins chroot wechseln:
Code:
Du musst dich
Anmelden
oder
Registrieren um den Inhalt der Codes zu sehen!
Achtung: Hierbei kommt am Ende folgende Fehlermeldung, welche wir pauschal ignorieren können:
Code:
Du musst dich
Anmelden
oder
Registrieren um den Inhalt der Codes zu sehen!
Als nächstes ändern wir das Passwort für den Superuser "root":
Code:
Du musst dich
Anmelden
oder
Registrieren um den Inhalt der Codes zu sehen!
Desweiteren legen wir einen User an -WICHTIG-:
Code:
Du musst dich
Anmelden
oder
Registrieren um den Inhalt der Codes zu sehen!
("axfa77" natürlich mit dem gewünschten Usernamen ersetzen!)
So schaut das aus:
Du musst dich
Anmelden
oder
Registrieren
um diesen Inhalt sichtbar zu machen!
Jetzt kommen wir zu der Konfiguration des Basissystems. Hierzu benötigen wir nun die zuvor gesicherten Daten (unsere "Serverinfos").
Code:
Du musst dich
Anmelden
oder
Registrieren um den Inhalt der Codes zu sehen!
Code:
Du musst dich
Anmelden
oder
Registrieren um den Inhalt der Codes zu sehen!
Code:
Du musst dich
Anmelden
oder
Registrieren um den Inhalt der Codes zu sehen!
Nun müssen wir die crypttab bzw. fstab abändern:
Code:
Du musst dich
Anmelden
oder
Registrieren um den Inhalt der Codes zu sehen!
Dort bitte folgendes einpflegen:
Code:
Du musst dich
Anmelden
oder
Registrieren um den Inhalt der Codes zu sehen!
Selbiges gilt für die fstab:
Code:
Du musst dich
Anmelden
oder
Registrieren um den Inhalt der Codes zu sehen!
Code:
Du musst dich
Anmelden
oder
Registrieren um den Inhalt der Codes zu sehen!
Jetzt noch die Paketliste anpassen:
Code:
Du musst dich
Anmelden
oder
Registrieren um den Inhalt der Codes zu sehen!
Folgende Quellen fügen wir ein (Jessie):
Code:
Du musst dich
Anmelden
oder
Registrieren um den Inhalt der Codes zu sehen!
EDIT: Latest Stable ("Stretch") ist als OK getestet:
HowTo - Rootserver mit Debian Jessie *FULL ENCRYPTED* inkl. Iptables-Firewall und Simplebuild
Code:
Du musst dich
Anmelden
oder
Registrieren um den Inhalt der Codes zu sehen!
Als nächstes bearbeiten wir unsere /etc/resolv.conf, damit unser Rootserver auch alles findet im www:
Code:
Du musst dich
Anmelden
oder
Registrieren um den Inhalt der Codes zu sehen!
(Hier ggfs. aus unseren "Serverinfos" anpassen)
Und aktualisieren:
Code:
Du musst dich
Anmelden
oder
Registrieren um den Inhalt der Codes zu sehen!
Sprache und Zone anpassen:
Code:
Du musst dich
Anmelden
oder
Registrieren um den Inhalt der Codes zu sehen!
Wir wählen folgende Einstellungen:
Du musst dich Anmelden oder Registrieren um den Inhalt der Angebote zu sehen!
Du musst dich
Anmelden
oder
Registrieren
um diesen Inhalt sichtbar zu machen!
Du musst dich
Anmelden
oder
Registrieren
um diesen Inhalt sichtbar zu machen!
Als nächstes:
Code:
Du musst dich
Anmelden
oder
Registrieren um den Inhalt der Codes zu sehen!
Du musst dich
Anmelden
oder
Registrieren
um diesen Inhalt sichtbar zu machen!
Du musst dich
Anmelden
oder
Registrieren
um diesen Inhalt sichtbar zu machen!
Jetzt installieren wir den Kernel.
Hierfür erstmal folgenden Befehl:
Code:
Du musst dich
Anmelden
oder
Registrieren um den Inhalt der Codes zu sehen!
Und anschließend:
Code:
Du musst dich
Anmelden
oder
Registrieren um den Inhalt der Codes zu sehen!
Installation von wichtigen Paketen:
Code:
Du musst dich
Anmelden
oder
Registrieren um den Inhalt der Codes zu sehen!
Bei der Installation von Grub werdet Ihr gefragt, wohin es installiert werden soll. Da die meisten nur eine Festplatte nutzen, wählt Ihr bitte /dev/sda aus und bestätigt mit OK.
Du musst dich
Anmelden
oder
Registrieren
um diesen Inhalt sichtbar zu machen!
Jetzt muss der Remote-Unlock eingerichtet werden:
Code:
Du musst dich
Anmelden
oder
Registrieren um den Inhalt der Codes zu sehen!
Nach DEVICE suchen und folgend ergänzen (aus unseren Serverinfos):
Code:
Du musst dich
Anmelden
oder
Registrieren um den Inhalt der Codes zu sehen!
Änderungen in das initrd übernehmen:
Code:
Du musst dich
Anmelden
oder
Registrieren um den Inhalt der Codes zu sehen!
Jetzt müssen wir den RSA-Key kopieren und am besten in notepad++ einfügen. Anschließend unter "id_rsa" abspeichern.
Code:
Du musst dich
Anmelden
oder
Registrieren um den Inhalt der Codes zu sehen!
Jetzt müsst ihr Puttygen (
Du musst dich
Anmelden
oder
Registrieren
um diesen link zusehen!
) öffnen und auf Conversations --> Importkey klicken.Anschließend auf "Save Privatekey".
Dieser ist für die Anmeldung notwendig.
Ohne diesen Schritt kommt Ihr nicht auf den Server!
Du musst dich
Anmelden
oder
Registrieren
um diesen Inhalt sichtbar zu machen!
(Ich habe hier noch einen "Passphrase" zusätzlich genommen, ist nicht! zwingend notwendig, könnt Ihr auch weglassen.)
Nun noch Grub updaten:
Code:
Du musst dich
Anmelden
oder
Registrieren um den Inhalt der Codes zu sehen!
Nun wieder in das Webinterface vom Provider gehen und als Netboot die HDD wieder auswählen!
Du musst dich
Anmelden
oder
Registrieren
um diesen Inhalt sichtbar zu machen!
Anschließend wie gewohnt rebooten:
Code:
Du musst dich
Anmelden
oder
Registrieren um den Inhalt der Codes zu sehen!
Du musst dich
Anmelden
oder
Registrieren
um diesen Inhalt sichtbar zu machen!
Nach einigen Minuten sollte der Server wieder hochgefahren sein.
Es steht Euch der Dropbear als SSH im unverschlüsselten Bereich zur Verfügung. Der Dropbear wird über den initrd-Daemon mitgeladen.
Um die Anmeldung erfolgreich abzuschließen benötigt Ihr den zuvor gespeicherten "Private Key"!
Du musst dich
Anmelden
oder
Registrieren
um diesen Inhalt sichtbar zu machen!
Nachdem Ihr Euch angemeldet habt, seid Ihr im unverschlüsselten minimal SSH (Dropbear) des Servers. Nun müsst Ihr folgenden Befehl eingeben:
Code:
Du musst dich
Anmelden
oder
Registrieren um den Inhalt der Codes zu sehen!
Mit Enter bestätigen. Jetzt bootet der Server erst komplett durch.
Nun Putty schließen und erneut einloggen. Allerdings nicht mehr mit dem "Private Key" sondern mit eurem festgelegten Passwort und dem User "axfa77" bzw. Eurem angelegten "normalen User" (siehe Punkt passwd^^).
Superuser "root" werdet Ihr als User "axfa77" bzw. Eurem angelegten "normalen User" via:
Code:
Du musst dich
Anmelden
oder
Registrieren um den Inhalt der Codes zu sehen!
:ja
Ich hoffe ich habe dem ein oder anderen damit etwas "Licht ins Dunkel" gebracht.
Weiter mit der Firewall via iptables geht es in "Teil 2 von 3".
Gruß
PS: Ich habe mal einen Laberthread hierzu erstellt damit das hier "sauber" bleibt:
Talk - Laberthread: Rootserver mit Debian Jessie *FULL ENCRYPTED* inkl. Iptables-Firewall...
Anhänge
Zuletzt bearbeitet: