Red Hat Summit Red Hat SummitApoyoConsolaDesarrolladoresIniciar una pruebaContacto

15.15.9. Configuración de la inscripción manual de volúmenes cifrados con LUKS

Siga los siguientes pasos para configurar el desbloqueo de volúmenes cifrados con LUKS con NBDE.

Requisito previo

  • Un servidor Tang está funcionando y está disponible.

Procedimiento

  1. Para desbloquear automáticamente un volumen cifrado con LUKS, instale el subpaquete clevis-luks: 

    # yum install clevis-luks
    Copy to Clipboard Toggle word wrap

  2. Identifique el volumen cifrado por LUKS para PBD. En el siguiente ejemplo, el dispositivo de bloque se denomina /dev/sda2: 

    # lsblk
NAME                                          MAJ:MIN RM   SIZE RO TYPE  MOUNTPOINT
sda                                             8:0    0    12G  0 disk
├─sda1                                          8:1    0     1G  0 part  /boot
└─sda2                                          8:2    0    11G  0 part
  └─luks-40e20552-2ade-4954-9d56-565aa7994fb6 253:0    0    11G  0 crypt
    ├─rhel-root                               253:0    0   9.8G  0 lvm   /
    └─rhel-swap                               253:1    0   1.2G  0 lvm   [SWAP]
    Copy to Clipboard Toggle word wrap

  3. Vincule el volumen a un servidor Tang utilizando el comando clevis luks bind: 

    # clevis luks bind -d /dev/sda2 tang '{"url":"http://tang.srv"}'
The advertisement contains the following signing keys:

_OsIk0T-E2l6qjfdDiwVmidoZjA

Do you wish to trust these keys? [ynYN] y
You are about to initialize a LUKS device for metadata storage.
Attempting to initialize it may result in data loss if data was
already written into the LUKS header gap in a different format.
A backup is advised before initialization is performed.

Do you wish to initialize /dev/sda2? [yn] y
Enter existing LUKS password:
    Copy to Clipboard Toggle word wrap

    Este comando realiza cuatro pasos:

    1. Crea una nueva clave con la misma entropía que la clave maestra LUKS.
    2. Cifra la nueva clave con la horquilla.
    3. Almacena el objeto Clevis JWE en el token de la cabecera LUKS2 o utiliza LUKSMeta si se utiliza la cabecera LUKS1 no predeterminada.

    4. Habilita la nueva clave para su uso con LUKS.

      Nota

      El procedimiento de vinculación supone que hay al menos una ranura de contraseña LUKS libre. El comando clevis luks bind toma una de las ranuras.

  4. El volumen se puede desbloquear ahora con su contraseña existente, así como con la política de la horquilla.

  5. Para permitir que el sistema de arranque temprano procese la unión de discos, introduzca los siguientes comandos en un sistema ya instalado: 

    # yum install clevis-dracut
# dracut -fv --regenerate-all
    Copy to Clipboard Toggle word wrap

Pasos de verificación

  1. Para comprobar que el objeto JWE de la horquilla se ha colocado correctamente en una cabecera LUKS, utilice el comando clevis luks list: 

    # clevis luks list -d /dev/sda2
1: tang '{"url":"http://tang.srv:port"}'
    Copy to Clipboard Toggle word wrap
Importante

Para utilizar NBDE para clientes con configuración IP estática (sin DHCP), pase su configuración de red a la herramienta dracut manualmente, por ejemplo: 

# dracut -fv --regenerate-all --kernel-cmdline "ip=192.0.2.10::192.0.2.1:255.255.255.0::ens3:none:192.0.2.45"
Copy to Clipboard Toggle word wrap

Como alternativa, cree un archivo .conf en el directorio /etc/dracut.conf.d/ con la información de red estática. Por ejemplo: 

# cat /etc/dracut.conf.d/static_ip.conf
kernel_cmdline="ip=192.0.2.10::192.0.2.1:255.255.255.0::ens3:none:192.0.2.45"
Copy to Clipboard Toggle word wrap

Regenerar la imagen inicial del disco RAM: 

# dracut -fv --regenerate-all
Copy to Clipboard Toggle word wrap

Recursos adicionales

Para más información, consulte las siguientes páginas de manual:

  • clevis-luks-bind(1)
  • dracut.cmdline(7)
Volver arriba
Red Hat logoGithubredditYoutubeTwitter

Aprender

Pruebe, compre y venda

Comunidades

Acerca de la documentación de Red Hat

Ayudamos a los usuarios de Red Hat a innovar y alcanzar sus objetivos con nuestros productos y servicios con contenido en el que pueden confiar. Explore nuestras recientes actualizaciones.

Hacer que el código abierto sea más inclusivo

Red Hat se compromete a reemplazar el lenguaje problemático en nuestro código, documentación y propiedades web. Para más detalles, consulte el Blog de Red Hat.

Acerca de Red Hat

Ofrecemos soluciones reforzadas que facilitan a las empresas trabajar en plataformas y entornos, desde el centro de datos central hasta el perímetro de la red.

Theme

© 2025 Red Hat