Capítulo 23. Configuración del desbloqueo automático mediante una llave Tang en la consola web
Configure el desbloqueo automático de un dispositivo de almacenamiento cifrado con LUKS utilizando una clave proporcionada por un servidor Tang.
Requisitos previos
Se ha instalado la consola web de RHEL 8.
Para más detalles, véase Instalación de la consola web.
-
El paquete
cockpit-storaged
está instalado en su sistema. -
El servicio
cockpit.socket
se ejecuta en el puerto 9090. -
Los paquetes
clevis
,tang
, yclevis-dracut
están instalados. - Se está ejecutando un servidor Tang.
Procedimiento
Abra la consola web de RHEL introduciendo la siguiente dirección en un navegador web:
https://localhost:9090
Sustituya la parte localhost por el nombre del servidor remoto o la dirección IP cuando se conecte a un sistema remoto.
- Proporcione sus credenciales y haga clic en Content: . Seleccione un dispositivo cifrado y haga clic en en la parte
Haga clic en Keys para añadir una llave Tang:
en la secciónProporcione la dirección de su servidor Tang y una contraseña que desbloquee el dispositivo cifrado con LUKS. Haz clic en
para confirmar:The following dialog window provides a command to verify that the key hash matches. RHEL 8.2 introduced the
tang-show-keys
script, and you can obtain the key hash using the following command on the Tang server running on the port 7500:# tang-show-keys 7500 3ZWS6-cDrCG61UPJS2BMmPU4I54
En RHEL 8.1 y anteriores, obtenga el hash de la clave utilizando el siguiente comando:
# curl -s localhost:7500/adv | jose fmt -j- -g payload -y -o- | jose jwk use -i- -r -u verify -o- | jose jwk thp -i- 3ZWS6-cDrCG61UPJS2BMmPU4I54
Haga clic en
cuando los hashes de la clave en la consola web y en la salida de los comandos enumerados anteriormente sean iguales:Para permitir que el sistema de arranque temprano procese la unión de discos, haga clic en
en la parte inferior de la barra de navegación izquierda e introduzca los siguientes comandos:# yum install clevis-dracut # dracut -fv --regenerate-all
Pasos de verificación
Compruebe que la clave Tang recién añadida aparece ahora en la sección Keys con el tipo
Keyserver
:Comprueba que las fijaciones están disponibles para el arranque temprano, por ejemplo:
# lsinitrd | grep clevis clevis clevis-pin-sss clevis-pin-tang clevis-pin-tpm2 -rwxr-xr-x 1 root root 1600 Feb 11 16:30 usr/bin/clevis -rwxr-xr-x 1 root root 1654 Feb 11 16:30 usr/bin/clevis-decrypt ... -rwxr-xr-x 2 root root 45 Feb 11 16:30 usr/lib/dracut/hooks/initqueue/settled/60-clevis-hook.sh -rwxr-xr-x 1 root root 2257 Feb 11 16:30 usr/libexec/clevis-luks-askpass
Recursos adicionales
- Para obtener más detalles sobre el desbloqueo automático de volúmenes cifrados con LUKS mediante Clevis y Tang, consulte el capítulo Configuración del desbloqueo automático de volúmenes cifrados mediante el descifrado basado en políticas.