Suchen
SupportKonsoleEntwicklerDemo startenKontakt

Kapitel 23. Konfigurieren des automatischen Entsperrens mit einem Tang-Schlüssel in der Web-Konsole

download PDF

Konfigurieren Sie die automatische Entsperrung eines LUKS-verschlüsselten Speichergeräts mit einem von einem Tang-Server bereitgestellten Schlüssel.

Voraussetzungen

  • Die RHEL 8 Web-Konsole wurde installiert.

    Details finden Sie unter Installieren der Web-Konsole.

  • Das Paket cockpit-storaged ist auf Ihrem System installiert.
  • Der Dienst cockpit.socket läuft auf Port 9090.
  • Die Pakete clevis, tang, und clevis-dracut sind installiert.
  • Es läuft ein Tang-Server.

Verfahren

  1. Öffnen Sie die RHEL-Webkonsole, indem Sie die folgende Adresse in einen Webbrowser eingeben: 

    https://localhost:9090

    Ersetzen Sie den Teil localhost durch den Hostnamen oder die IP-Adresse des Remote-Servers, wenn Sie eine Verbindung zu einem Remote-System herstellen.

  2. Geben Sie Ihre Anmeldedaten ein und klicken Sie auf Speicher. Wählen Sie ein verschlüsseltes Gerät und klicken Sie im Teil Content auf Verschlüsselung:

  3. Klicken Sie auf im Bereich Keys, um einen Tang-Schlüssel hinzuzufügen:

    RHEL web console: Encryption

  4. Geben Sie die Adresse Ihres Tang-Servers und ein Passwort an, das das LUKS-verschlüsselte Gerät entsperrt. Klicken Sie zum Bestätigen auf Hinzufügen:

    RHEL web console: Add Tang key

  5. Das folgende Dialogfenster bietet einen Befehl, um zu überprüfen, ob der Schlüssel-Hash übereinstimmt. Mit RHEL 8.2 wurde das Skript tang-show-keys eingeführt, und Sie können den Schlüssel-Hash mit dem folgenden Befehl auf dem Tang-Server abrufen, der auf dem Port 7500 läuft: 

    # tang-show-keys 7500
3ZWS6-cDrCG61UPJS2BMmPU4I54

    Unter RHEL 8.1 und früher erhalten Sie den Schlüssel-Hash mit dem folgenden Befehl: 

    # curl -s localhost:7500/adv | jose fmt -j- -g payload -y -o- | jose jwk use -i- -r -u verify -o- | jose jwk thp -i-
3ZWS6-cDrCG61UPJS2BMmPU4I54

  6. Klicken Sie auf Schlüssel vertrauen, wenn die Schlüssel-Hashes in der Web-Konsole und in der Ausgabe der zuvor aufgeführten Befehle übereinstimmen:

    RHEL web console: Verify Tang key

  7. Um das Frühstartsystem zu aktivieren, damit es die Festplattenbindung verarbeitet, klicken Sie unten in der linken Navigationsleiste auf Terminal und geben Sie die folgenden Befehle ein: 

    # yum install clevis-dracut
# dracut -fv --regenerate-all

Schritte zur Verifizierung

  1. Prüfen Sie, ob der neu hinzugefügte Tang-Schlüssel nun im Bereich Keys mit dem Typ Keyserver aufgeführt ist:

    RHEL web console: A keyserver key is listed

  2. Vergewissern Sie sich, dass die Bindungen z. B. für den frühen Start verfügbar sind: 

    # lsinitrd | grep clevis
clevis
clevis-pin-sss
clevis-pin-tang
clevis-pin-tpm2
-rwxr-xr-x   1 root     root         1600 Feb 11 16:30 usr/bin/clevis
-rwxr-xr-x   1 root     root         1654 Feb 11 16:30 usr/bin/clevis-decrypt
...
-rwxr-xr-x   2 root     root           45 Feb 11 16:30 usr/lib/dracut/hooks/initqueue/settled/60-clevis-hook.sh
-rwxr-xr-x   1 root     root         2257 Feb 11 16:30 usr/libexec/clevis-luks-askpass

Zusätzliche Ressourcen

Red Hat logoGithubRedditYoutubeTwitter

Lernen

Testen, kaufen und verkaufen

Communitys

Über Red Hat Dokumentation

Wir helfen Red Hat Benutzern, mit unseren Produkten und Diensten innovativ zu sein und ihre Ziele zu erreichen – mit Inhalten, denen sie vertrauen können.

Mehr Inklusion in Open Source

Red Hat hat sich verpflichtet, problematische Sprache in unserem Code, unserer Dokumentation und unseren Web-Eigenschaften zu ersetzen. Weitere Einzelheiten finden Sie in Red Hat Blog.

Über Red Hat

Wir liefern gehärtete Lösungen, die es Unternehmen leichter machen, plattform- und umgebungsübergreifend zu arbeiten, vom zentralen Rechenzentrum bis zum Netzwerkrand.

© 2024 Red Hat, Inc.