Déchiffrer un serveur Debian 13 Trixie à distance

Ce mémo indique les étapes minimales nécessaires pour déchiffrer à distance le disque d'un serveur sous Debian 13 (Trixie) en utilisant le mini serveur SSH dropbear-initramfs.

La procédure s'est beaucoup simplifiée avec les versions de Debian récentes ♥. Mais que les documentation qu'on peut trouver en ligne sont assez datées.

Mise en place

Côté le serveur chiffré

Installer le paquet dropbear-initramfs :

apt install dropbear-initramfs

Installer la clef SSH autorisée à se connecter pour déchiffrer le disque (ici on suppose que l'on reprend la clef de manu :

cat ~manu/.ssh/authorized_key >> /etc/dropbear/initramfs/authorized_keys

Reconstruire le système de déverrouillage

update-initramfs -c -k all

Cela est suffisant si votre serveur reçoit une adresse IPv4 via DHCP.

Sinon, il faudra ajouter une option pour spécifier l'adresse IP en dur :

echo 'IP=10.0.0.123::10.0.0.1:255.255.255.0:my.host.name:eth0:off' >> /etc/initramfs-tools/initramfs.conf

Puis reconstruire le système de déverrouillage.

Côté machine distante qui va déchiffrer

Ajouter une configuration spécifique monserveur.fde pour le serveur dropbear de déverrouillage afin de le différencier du serveur SSH « normal » monserveur.example.com (celui de la machine une fois déchiffrée).

Host *.fde
     UserKnownHostsFile ~/.ssh/known_hosts.initramfs
     User root
     PasswordAuthentication No
     RemoteCommand cryptroot-unlock

Host monserveur.fde
    HostName monserveur.example.com

Utilisation

Une fois que serveur démarré, le serveur dropbear devrait démarrer et se mettre en attente de déchiffrement. On s'y connecte puis on déchiffre la machine :

ssh monserveur.fde
Please unlock disk sda3_crypt: 
cryptsetup: sda3_crypt set up successfully
~ # Connection to monserveur closed by remote host.
Connection to monserveur closed.

Quelques secondes plus tard, le serveur finit de démarrer il devrait être possible de se connecter au son serveur SSH « normal ».

ssh monserveur.example.com

Sources