Buscar

9.5. Configuración del desbloqueo automático mediante una llave Tang en la consola web

download PDF

Configure el desbloqueo automático de un dispositivo de almacenamiento cifrado con LUKS utilizando una clave proporcionada por un servidor Tang.

Requisitos previos

  • Se ha instalado la consola web de RHEL 8.

    Para más detalles, véase Instalación de la consola web.

  • El paquete cockpit-storaged está instalado en su sistema.
  • El servicio cockpit.socket se ejecuta en el puerto 9090.
  • Los paquetes clevis, tang, y clevis-dracut están instalados.
  • Se está ejecutando un servidor Tang.

Procedimiento

  1. Abra la consola web de RHEL introduciendo la siguiente dirección en un navegador web:

    https://localhost:9090

    Sustituya la parte localhost por el nombre del servidor remoto o la dirección IP cuando se conecte a un sistema remoto.

  2. Proporcione sus credenciales y haga clic en Almacenamiento. Seleccione un dispositivo cifrado y haga clic en Cifrado en la parte Content:
  3. Haga clic en en la sección Keys para añadir una llave Tang:

    RHEL web console: Encryption
  4. Proporcione la dirección de su servidor Tang y una contraseña que desbloquee el dispositivo cifrado con LUKS. Haz clic en Añadir para confirmar:

    RHEL web console: Add Tang key
  5. La siguiente ventana de diálogo proporciona un comando para verificar que el hash de la clave coincide. RHEL 8.2

    # tang-show-keys 7500
    3ZWS6-cDrCG61UPJS2BMmPU4I54

    En RHEL 8.1 y anteriores, obtenga el hash de la clave utilizando el siguiente comando:

    # curl -s localhost:7500/adv | jose fmt -j- -g payload -y -o- | jose jwk use -i- -r -u verify -o- | jose jwk thp -i-
    3ZWS6-cDrCG61UPJS2BMmPU4I54
  6. Haga clic en Confiar en la clave cuando los hashes de la clave en la consola web y en la salida de los comandos enumerados anteriormente sean iguales:

    RHEL web console: Verify Tang key
  7. Para permitir que el sistema de arranque temprano procese la unión de discos, haga clic en Terminal en la parte inferior de la barra de navegación izquierda e introduzca los siguientes comandos:

    # yum install clevis-dracut
    # dracut -fv --regenerate-all

Pasos de verificación

  1. Compruebe que la clave Tang recién añadida aparece ahora en la sección Keys con el tipo Keyserver:

    RHEL web console: A keyserver key is listed
  2. Comprueba que las fijaciones están disponibles para el arranque temprano, por ejemplo:

    # lsinitrd | grep clevis
    clevis
    clevis-pin-sss
    clevis-pin-tang
    clevis-pin-tpm2
    -rwxr-xr-x   1 root     root         1600 Feb 11 16:30 usr/bin/clevis
    -rwxr-xr-x   1 root     root         1654 Feb 11 16:30 usr/bin/clevis-decrypt
    ...
    -rwxr-xr-x   2 root     root           45 Feb 11 16:30 usr/lib/dracut/hooks/initqueue/settled/60-clevis-hook.sh
    -rwxr-xr-x   1 root     root         2257 Feb 11 16:30 usr/libexec/clevis-luks-askpass

Recursos adicionales

Red Hat logoGithubRedditYoutubeTwitter

Aprender

Pruebe, compre y venda

Comunidades

Acerca de la documentación de Red Hat

Ayudamos a los usuarios de Red Hat a innovar y alcanzar sus objetivos con nuestros productos y servicios con contenido en el que pueden confiar.

Hacer que el código abierto sea más inclusivo

Red Hat se compromete a reemplazar el lenguaje problemático en nuestro código, documentación y propiedades web. Para más detalles, consulte el Blog de Red Hat.

Acerca de Red Hat

Ofrecemos soluciones reforzadas que facilitan a las empresas trabajar en plataformas y entornos, desde el centro de datos central hasta el perímetro de la red.

© 2024 Red Hat, Inc.