Ich habe auf meinem persönlichen Server (Debian Jessie) eine verschlüsselte LVM-Partition eingerichtet. Jedes Mal, wenn ich ihn also neu starten muss, muss ich mich mit Dropbear verbinden, das in initramfs installiert ist, die Festplatte entsperren, die Verbindung schließen und dann, sobald der Server gestartet ist, eine Verbindung zum OpenSSH-Server herstellen.
Das Problem besteht darin, dass beide Server unterschiedliche private/öffentliche Schlüsselpaare, aber dieselbe IP-Adresse haben, und daher beschwert sich mein SSH-Client, dass der gespeicherte Fingerabdruck ~/.ssh/known_hostsvon dem vom Server gesendeten abweicht.
Frage 1 :
Gibt es eine Möglichkeit, dasselbe private/öffentliche Schlüsselpaar in Dropbear und auf dem OpenSSH-Server zu verwenden? Oder muss ich auf einen Workaround wie diesen zurückgreifen:
- Verwenden von zwei unterschiedlichen IPs für Boot- und Betriebszeit.
- Verwendung von 2 verschiedenen SSH-Clients zum Booten und Hochfahren …
Frage 2 :
Wenn es möglich ist, denselben Schlüssel zu verwenden, wie mache ich das? Es scheint, dass die privaten Schlüssel von Dropbears ein anderes Format als OpenSSH haben und verschlüsselt zu sein scheinen. Wie konvertiere ich sie?
Antwort1
Wenn Sie für beide den gleichen Schlüssel verwenden würden, müssten Sie sie auf einer unverschlüsselten Partition belassen (initramfs, wie Sie es beschreiben), und das ist nicht das, was Sie wollen, da private Schlüssel vertrauliche Daten sind.
Ich würde Ihnen eher vorschlagen, Dropbear auf einem anderen Port als dem Standardport 22 auszuführen. Sie können in Ihre Datei mit den bekannten Hosts auch die Portnummer (im Format [hostname]:port key-type key) eingeben, um die Fingerabdruckwarnungen zu vermeiden.