Instalação
Começamos atualizar o repositório de pacotes da distribuição
sudo apt-get updateE de seguida já podemos instalar o dropbear-initramfs
sudo apt-get install dropbear-initramfsDurante a instalação do Dropbear poderá aparecer a mensagem:
“dropbear: WARNING: Invalid authorized_keys file, SSH login to initramfs won’t work!”
Não precisamos de nos preocupar com a mesma, visto que vamos de seguida fazer isso.
Instalação de chaves publicas ssh para autenticação
Na pasta /etc/dropbear/initramfs iremos criar um ficheiro com o nome authorized_keys
sudo touch /etc/dropbear/initramfs/authorized_keys Agora teremos que colocar a nossa chave publica de ssh para que possamos aceder remotamente de forma segura.
Poderemos efetuar esta operação de várias formas dependendo de como estamos a aceder ao servidor (ou workstation) para efetuar as configurações.
No meu caso, já tenho um utilizador no equipamento com as chaves que pretendo colocar, pelo que apenas tenho que copiar as mesmas para lá.
Vamos assumir que o nome de utilizador que tenho é “john” e que o mesmo tem direitos de administração, poderei executar o seguinte comando:
sudo bash -c "cat /home/john/.ssh/authorized_keys >> /etc/dropbear/initramfs/authorized_keys"Configuração adicionais para incrementar segurança do serviço
Agora devemos efetuar algumas configurações adicionais para melhorarmos a segurança do nosso servidor ssh.
Para isso vamos adicionar algumas opções no ficheiro de configurações do dropbear. Este ficheiro encontra-se na mesma pasta em que criámos o ficheiro authorized_keys e tem o nome dropbear.conf.
No mesmo vamos descomentar a linha “DROPBEAROPTIONS=”.
Vamos editar o ficheiro com o editor que pretenderem e que esteja disponivel. No exemplo irei usar o vim:
vim /etc/dropbear/initramfs/dropbear.confAgora vamos adicionar a essa linha as seguintes opções de forma a que fique da seguinte forma:
DROPBEAR_OPTIONS="-I 120 -j -k -p 2222 -s -c cryptroot-unlock"As opções adicionadas irão ser passadas ao dropbear. Estas opções alteram o comportamento do servidor de ssh da seguinte forma:
-I 120 : Caso a ligação não tenha atividade durante o tempo especificado (em segundos), a mesma será terminada
-j : Desabilita o forward de portas locais
-k : Desabilita o forward de portas remotas
-p : Define o porto onde o serviço irá estar à escuta, se pretendermos que seja num porto diferente do 22
-s : Desabilita o login com password. Esta opção é muito importante! Não nos podemos esquecer de adicionar as chaves publicas que mencionámos anteriomente. Caso contrário não teremos como aceder remotamente ao serviço.
-c : Estamos a forçar a executar o comando indicado. No caso da opção que colocamos nas opções, estamos executar o comando que permite indicar chave que precisamos para desbloquear o disco cifrado.
Configuração de endereçamento IPv4
No caso de pretendermos indicar um endereço IPv4 em vez do atribuido por DHCP, deveremos efetuar as seguintes alterações.
Temos que editar o ficheiro /etc/initramfs-tools/initramfs.conf e adicionar a linha seguinte:
IP=xxx.xxx.xxx.xxx::xxx.xxx.xxx.xxx:xxx.xxx.xxx.xxx:myhostnameOs xxx.xxx.xxx.xxx devem ser alterados para o endereços correspondentes ao seguinte:
<endereço ipv4>::<gateway ipv4>:<máscara de rede>
Agora vamos gravar as configurações e torná-las efetivas:
sudo update-initramfs -u
No ubuntu server 22.04 deve-se executar adicionalmente:
sudo update-grubEstas instruções foram testadas no ubuntu server 22.04 e no Pop_OS! 22.04