cryptsetup 小脚本

过于复杂的密码很容易丢失,即使使用密钥管理器也容易发生误操作或者被迫暴露。而密钥文件其实也并非那么的可靠。

cryptsetup的命令真的很长。我写了个小脚本(crypt.sh)简化下。

#!/bin/bash

KEYFILE=""
HEADFILE=""
KEYFILEOFFSET=0
DEVICE=""
S_POS=0
PAYLOAD=0
ACTION=""
CIPHER="serpent-xts-plain64"
CRYPTSETUP="cryptsetup"
EXTEND=""
BLOCKSIZE=4194304
N=1

function convert() {
local ret=`echo $1 | awk '/[0-9]$/{print $1;next};/[gG]$/{printf "%u\n", $1*(1024*1024*1024);next};/[mM]$/{printf "%u\n", $1*(1024*1024);next};/[kK]$/{printf "%u\n", $1*1024;next}' `
echo "$ret"
}

function get_args() {
  while getopts "k:h:d:p:s:c:eb:n:m:" arg
    do 
      case $arg in
        k)
        KEYFILE=$OPTARG
        ;;
    h)
      HEADFILE=$OPTARG
      ;;
    d)
      DEVICE=$OPTARG
      ;;
    p)
      PAYLOAD=$(($(convert $OPTARG) / 512))
      ;;
    s)
      S_POS=$(convert $OPTARG)
      ;;
    c)
      CIPHER=$OPTARG
      ;;
    e)
      EXTEND="extend"
      ;;
    b)
      BLOCKSIZE=$(convert $OPTARG)
      ;;
    n)
      N=$OPTARG
      ;;
    ?)
      echo "unknow argument"
      exit 1
      ;;
    esac
      done
}

function open() {
  $CRYPTSETUP open --keyfile-size $KEYSIZE  --key-file $KEYFILE --keyfile-offset $KEYOFFSET --header $HEADFILE $DEVICE `basename $DEVICE`
}

function close() {
  $CRYPTSETUP close `basename $DEVICE`
}

function format() {
  $CRYPTSETUP luksFormat --cipher $CIPHER --key-size 512 --keyfile-size $KEYSIZE --hash sha512  --key-file $KEYFILE --keyfile-offset $KEYOFFSET --header $HEADFILE --align-payload $PAYLOAD $DEVICE
}

function dump() {
    $CRYPTSETUP luksDump --keyfile-size $KEYSIZE  --key-file $KEYFILE --keyfile-offset $KEYOFFSET $HEADFILE
}

function extend() {
  dd if=$KEYFILE of=/dev/shm/`basename $KEYFILE` bs=$BLOCKSIZE count=1 skip=1
    HEADFILE=/dev/shm/`basename $KEYFILE`
}

function quit() {
return 0
}

function extendquit() {
rm -rf /dev/shm/`basename $KEYFILE`
}

ACTION=$1
shift
get_args $@
$EXTEND
echo $KEYFILE
echo $HEADFILE
KEYOFFSET=$((`od $KEYFILE -N $N -tu4 -j $S_POS | grep [^0$N] | awk '{print $2}'` * 8))
KEYSIZE=$((BLOCKSIZE - KEYOFFSET))
$ACTION
${EXTEND}quit

使用方法如下

crypt.sh action -k key -h header -d /dev/sdx -p xG -s offset -c cipher -b blocksize -e -n N

脚本只支持key文件的方式。脚本使用key文件的offset* 8位置的数值作为在key文件中的偏移,默认为1个字节,可以通过设置N的值来修改字节的大小,比如N为2就是两个字节的值*8作为最终的偏移,N越大,则密钥文件需要的也越大,因为表示偏移位置的数字范围也越大。我比较喜欢使用随机生成的文件,因此,这个最终的偏移是多少,除了打开文件,具体计算,我也不清楚,但只需要记住初始的值offset就可以了。

blocksize为密钥文件的大小, 单独可能没太大用,但如果将key文件和header文件直接拼接起来,带上参数-e, 则后续的操作(format除外), 就不需要使用header文件了。脚本会将header文件解出来,放到/dev/shm下面,使用完之后,再删除掉它, 这个时候, blocksize就很有用了。

-p 对应的是align-payload 参数,支持偏移,这个值和blocksize, offset 一样, 支持K,M,G这样人类可看的格式。 action可以为 open, close, format, dump 对应的使cryptsetup的 open, close, format,luksDump

这样一来, 主要只用记住密钥文件的偏移即可。

kubernetes的又一次尝试

之前使用docker-swarm,刚开始觉得还不错,但发现经过一段时间后,或者timeout,或者内存过高崩溃,总之,各种各样。

因此,这段时间,我一直使用的是传统的方式,开了一大堆端口号。

这两天又重新拾起了kurbernetes, 使用的环境是ubuntu 16.04, kubeadm的版本是1.7.4。

整个的安装也还是哗哗的,很顺利的结束了。

calico的安装也是哗哗的,很顺利的样子。

pod 同样的结果。

开测!!!

悲剧的挂了,测试静态的页面访问,无问题,一切正常。

但涉及到数据库/redis就timeout了。看了日志,无法连接上。

进入容器,发现无法连接上数据库,redis,过程略,总之,无法连接主机所在的局域网上的主机,当然,除了部署所在的主机除外。

数据库在局域网上,redis也在局域网上。

calico查了许久,不知道如何解决。

iptables 看了下,这个我没有研究过,更加不懂。

总之,经过了一天的研究,反复重装了N次,一直如此。最后没办法了,iptables转发吧,这总可以了吧。

iptables转发很快的配置好了,在主机上测试,竟然不通,该开的都开了啊。

最终发现,这个测试不能在开转发本机上测试,使用其他主机访问转发的端口就无问题,但主机自身不可,泪奔阿。

然后,发现pod中也可以访问数据库了,也可以访问redis了,一切正常了。

从理论上而言,可能要将指定的端口打开,但我将iptables的所有的INPUT, OUTPUT, FORWARD都接受了,还是不可以。只有使用iptables转发指定的端口内容才可以。

总之,目前都正常了。小测了一下,在相同的环境下,和docker bridge的效率几乎不相上下,甚至会更好些。剩下的就看能撑多久了。之前测试时发现网络经常连着连着就不通了。这次还有待时间检验

docker-compose 奇怪的错误

在使用docker-compose的时候,突然碰到一个奇怪的错误:

Couldn’t connect to Docker daemon at http+docker://localunixsocket – is it running?

从网上找了个中方式都不行。

后来干脆忽视下,先整理目录。将docker-compose.yml中自动创建的data目录删除了。这个目录使我用来挂载到docker的container中的指定目录的。

然后, 之前的那个错误解决了!!!!

linux创建启动盘

  1. 磁盘必须具备 boot, lba标识
  2. 挂载(这里是第一个分区,fat32格式,磁盘沿用上一篇的磁盘镜像格式, 当前目录创建了一个boot的目录作为挂载点)
mount /dev/loop0p1 boot
  1. EFI可选,不知道具体效果,不知道如何测试区别
efibootmgr -w

其他的解释: 如果不做这一步,那么在主板 CSM 开启的混合模式下可能无法UEFI启动。

  1. efi 安装(需要64位efi安装的linux?),没有的话直接复制也可。efi的启动盘相对简单: 磁盘分区为boot+lba标识的fat32分区,自动加载efi/boot/bootx64.efi
grub-install --boot-directory boot/boot --efi-directory boot --removable /dev/loop0
  1. 由于第4步在efi平台只安装efi相关的内容,不将启动代码写入到相关的启动分区中,所以还需要在非efi启动的情况下重复第4点的操作。使用livecd也可以完成这一步
grub-install --boot-directory boot/boot --efi-directory boot --removable /dev/loop0
  1. 对于loop设备,比如目前用的其实是一个img文件,需要使用下面的方式
grub-install --boot-directory=boot/boot --efi-directory boot --removable --modules="ext2 part_msdos" /dev/loop0

注意第4点和第5点在不同环境下的输出

至此,同时支持bios和uefi的启动盘就制作完成了。

linux制作磁盘镜像

过程很简单,就几条语句

创建一个磁盘镜像

dd if=/dev/zero of=disk.img bs=512M count=1

如果不存在 /dev/loop0,一般都有

modprobe loop
losetup -f

关联loop0和镜像文件

losetup -Pf /dev/loop0 disk.img

然后可以将/dev/loop0作为普通磁盘磁盘一样进行操作。比如使用gparted进行操作

gparted /dev/loop0

取消关联

losetup -d /dev/loop0