<p>LUKSによるルートパーティションの暗号化を、Tailscale + SSHでリモートから解除する方法を紹介します。Tailscaleと軽量SSH実装のDropbearをinitramfsに入れることで実現します。</p>
<p>ルートパーティションの暗号化は完了しており、マシンに物理的にアクセスすれば暗号化を解除できる状態になっているものとします。</p>
<h1 id="1.-initramfs%E3%81%A7%E4%BD%BF%E7%94%A8%E3%81%99%E3%82%8Bip%E3%82%A2%E3%83%89%E3%83%AC%E3%82%B9%E3%81%AE%E8%A8%AD%E5%AE%9A">
<a class="header-anchor-link" href="#1.-initramfs%E3%81%A7%E4%BD%BF%E7%94%A8%E3%81%99%E3%82%8Bip%E3%82%A2%E3%83%89%E3%83%AC%E3%82%B9%E3%81%AE%E8%A8%AD%E5%AE%9A" aria-hidden="true"></a> 1. initramfsで使用するIPアドレスの設定</h1>
<p>initramfsからインターネットに接続するために、IPアドレス等の設定を行います。DHCPを使用する場合はこの項目はスキップできます。</p>
<p><code>/etc/default/grub</code>を編集し、<code>GRUB_CMDLINE_LINUX_DEFAULT</code>に<code>ip=</code>を追加します。</p>
<div class="code-block-container"><pre><code>GRUB_CMDLINE_LINUX="ip=&lt;client-ip&gt;:&lt;server-ip&gt;:&lt;gw-ip&gt;:&lt;netmask&gt;:&lt;hostname&gt;:&lt;device&gt;:&lt;autoconf&gt;:&lt;dns0-ip&gt;:&lt;dns1-ip&gt;:&lt;ntp0-ip&gt;"
</code></pre></div><p>※不要な項目は省略できます。<code>&lt;server-ip&gt;</code>はNFSサーバに接続する場合に指定するもので、今回は不要です。</p>
<p>例えば、次のように設定します。</p>
<div class="code-block-container"><pre><code>GRUB_CMDLINE_LINUX="ip=192.168.0.10::192.168.0.1:255.255.255.0:my-hostname-initramfs:eth0:none"
</code></pre></div><p><code>GRUB_CMDLINE_LINUX</code>で指定できるパラメータの一覧は次のページにまとめられています。</p>
<p><span class="embed-block zenn-embedded zenn-embedded-card"><iframe id="zenn-embedded__1255a9d2bc776" src="https://embed.zenn.studio/card#zenn-embedded__1255a9d2bc776" data-content="https%3A%2F%2Fwww.kernel.org%2Fdoc%2Fhtml%2Fv6.6%2Fadmin-guide%2Fkernel-parameters.html" frameborder="0" scrolling="no" loading="lazy"></iframe></span><a href="https://www.kernel.org/doc/html/v6.6/admin-guide/kernel-parameters.html" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://www.kernel.org/doc/html/v6.6/admin-guide/kernel-parameters.html</a></p>
<p><code>ip=</code>で指定できる項目は次のページにまとめられています。</p>
<p><span class="embed-block zenn-embedded zenn-embedded-card"><iframe id="zenn-embedded__71716e0a2c0e3" src="https://embed.zenn.studio/card#zenn-embedded__71716e0a2c0e3" data-content="https%3A%2F%2Fwww.kernel.org%2Fdoc%2Fhtml%2Fv6.6%2Fadmin-guide%2Fnfs%2Fnfsroot.html" frameborder="0" scrolling="no" loading="lazy"></iframe></span><a href="https://www.kernel.org/doc/html/v6.6/admin-guide/nfs/nfsroot.html" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://www.kernel.org/doc/html/v6.6/admin-guide/nfs/nfsroot.html</a></p>
<h1 id="2.-dropbear-initramfs%E3%81%AE%E8%A8%AD%E5%AE%9A">
<a class="header-anchor-link" href="#2.-dropbear-initramfs%E3%81%AE%E8%A8%AD%E5%AE%9A" aria-hidden="true"></a> 2. dropbear-initramfsの設定</h1>
<p>軽量SSH実装のDropbearをinitramfsに入れます。</p>
<div class="code-block-container"><pre class="language-shell"><code class="language-shell"><span class="token function">sudo</span> <span class="token function">apt-get</span> update
<span class="token function">sudo</span> <span class="token function">apt-get</span> <span class="token function">install</span> dropbear-initramfs
</code></pre></div><p>SSHの公開鍵を登録します。</p>
<div class="code-block-container"><pre class="language-shell"><code class="language-shell"><span class="token builtin class-name">echo</span> <span class="token string">'ssh-ed25519 ...'</span> <span class="token operator">|</span> <span class="token function">sudo</span> <span class="token function">tee</span> <span class="token parameter variable">-a</span> /etc/dropbear/initramfs/authorized_keys
<span class="token function">sudo</span> <span class="token function">chmod</span> <span class="token number">600</span> /etc/dropbear/initramfs/authorized_keys
</code></pre></div><h1 id="3.-tailscale-initramfs%E3%81%AE%E8%A8%AD%E5%AE%9A">
<a class="header-anchor-link" href="#3.-tailscale-initramfs%E3%81%AE%E8%A8%AD%E5%AE%9A" aria-hidden="true"></a> 3. tailscale-initramfsの設定</h1>
<p>Tailscaleをinitramfsに入れます。今回は次の実装を利用します。</p>
<p><span class="embed-block zenn-embedded zenn-embedded-card"><iframe id="zenn-embedded__29ecf29590098" src="https://embed.zenn.studio/card#zenn-embedded__29ecf29590098" data-content="https%3A%2F%2Fgithub.com%2Fdarkrain42%2Ftailscale-initramfs" frameborder="0" scrolling="no" loading="lazy"></iframe></span><a href="https://github.com/darkrain42/tailscale-initramfs" style="display:none" target="_blank" rel="nofollow noopener noreferrer">https://github.com/darkrain42/tailscale-initramfs</a></p>
<div class="code-block-container"><pre class="language-shell"><code class="language-shell"><span class="token comment"># Add the repository</span>
<span class="token function">sudo</span> <span class="token function">mkdir</span> <span class="token parameter variable">-p</span> <span class="token parameter variable">--mode</span><span class="token operator">=</span>0755 /usr/local/share/keyrings
<span class="token function">curl</span> <span class="token parameter variable">-fsSL</span> https://darkrain42.github.io/tailscale-initramfs/keyring.asc <span class="token operator">|</span> <span class="token function">sudo</span> <span class="token function">tee</span> /usr/local/share/keyrings/tailscale-initramfs-keyring.asc <span class="token operator">&gt;</span>/dev/null
<span class="token builtin class-name">echo</span> <span class="token string">'deb [signed-by=/usr/local/share/keyrings/tailscale-initramfs-keyring.asc] https://darkrain42.github.io/tailscale-initramfs/repo stable main'</span> <span class="token operator">|</span> <span class="token function">sudo</span> <span class="token function">tee</span> /etc/apt/sources.list.d/tailscale-initramfs.list <span class="token operator">&gt;</span>/dev/null

<span class="token comment"># Install tailscale-initramfs</span>
<span class="token function">sudo</span> <span class="token function">apt-get</span> update
<span class="token function">sudo</span> <span class="token function">apt-get</span> <span class="token function">install</span> tailscale-initramfs
</code></pre></div><p>Tailscaleの<a href="https://login.tailscale.com/admin/settings/keys" target="_blank" rel="nofollow noopener noreferrer">admin console</a>から、デバイスを追加するためのauth keyを生成します。reusableとephemeralを有効にし、必要に応じてタグを設定してください。</p>
<p>生成したauth keyは<code>/etc/tailscale/initramfs/config</code>に追加します。</p>
<div class="code-block-container"><pre class="language-shell"><code class="language-shell"><span class="token function">sudo</span> <span class="token function">vi</span> /etc/tailscale/initramfs/config
</code></pre></div><aside class="msg message"><span class="msg-symbol">!</span><div class="msg-content">
<p>Auth keyは平文でinitramfsに保存されます。この鍵を使用するとTailnetにデバイスを追加できるため、必ず適切なACLを設定してください。</p>
</div></aside>
<h1 id="4.-initramfs%E3%81%AE%E5%86%8D%E6%A7%8B%E7%AF%89">
<a class="header-anchor-link" href="#4.-initramfs%E3%81%AE%E5%86%8D%E6%A7%8B%E7%AF%89" aria-hidden="true"></a> 4. initramfsの再構築</h1>
<p>initramfsを再構築します。</p>
<div class="code-block-container"><pre class="language-shell"><code class="language-shell">update-initramfs <span class="token parameter variable">-c</span> <span class="token parameter variable">-k</span> all
<span class="token function">update-grub</span>
</code></pre></div><h1 id="5.-%E3%83%AA%E3%83%96%E3%83%BC%E3%83%88">
<a class="header-anchor-link" href="#5.-%E3%83%AA%E3%83%96%E3%83%BC%E3%83%88" aria-hidden="true"></a> 5. リブート</h1>
<p>再起動して動作を確認します。</p>
<div class="code-block-container"><pre class="language-shell"><code class="language-shell"><span class="token function">sudo</span> <span class="token function">reboot</span>
</code></pre></div><p>SSHでinitramfsに接続します。ホスト名がわからない場合はTailscaleのadmin consoleから確認できます。</p>
<div class="code-block-container"><pre class="language-shell"><code class="language-shell"><span class="token function">ssh</span> root@my-hostname-initramfs
</code></pre></div><p><code>cryptroot-unlock</code>コマンドでルートパーティションの暗号化を解除します。成功するとSSH接続は切断され、Linuxが起動します。</p>
<div class="code-block-container"><pre class="language-shell"><code class="language-shell">cryptroot-unlock
</code></pre></div>

TailscaleでSSHしてルートパーティションの暗号化を解除する

1. initramfsで使用するIPアドレスの設定

Discussion