Red Hat SummitCapitolo 23. Configurare lo sblocco automatico usando una chiave Tang nella console web
Configura lo sblocco automatico di un dispositivo di archiviazione criptato LUKS usando una chiave fornita da un server Tang.
Prerequisiti
La console web di RHEL 8 è stata installata.
Per dettagli, veda Installare la console web.
-
Il pacchetto
cockpit-storagedè installato sul suo sistema. -
Il servizio
cockpit.socketè in esecuzione sulla porta 9090. -
I pacchetti
clevis,tangeclevis-dracutsono installati. - È in funzione un server Tang.
Procedura
Apra la console web di RHEL inserendo il seguente indirizzo in un browser web:
https://localhost:9090Sostituisca la parte localhost con il nome host o l'indirizzo IP del server remoto quando si collega a un sistema remoto.
- Fornisca le sue credenziali e clicchi su . Selezioni un dispositivo criptato e clicchi nella parte Content:
Clicchi nella sezione Keys per aggiungere una chiave Tang:
Fornisca l'indirizzo del suo server Tang e una password che sblocchi il dispositivo criptato LUKS. Clicchi su per confermare:
La seguente finestra di dialogo fornisce un comando per verificare che l'hash della chiave corrisponda. RHEL 8.2 ha introdotto lo script
tang-show-keyse può ottenere l'hash della chiave usando il seguente comando sul server Tang in esecuzione sulla porta 7500:# tang-show-keys 7500 3ZWS6-cDrCG61UPJS2BMmPU4I54Su RHEL 8.1 e precedenti, ottenga l'hash della chiave usando il seguente comando:
# curl -s localhost:7500/adv | jose fmt -j- -g payload -y -o- | jose jwk use -i- -r -u verify -o- | jose jwk thp -i- 3ZWS6-cDrCG61UPJS2BMmPU4I54Clicchi su quando gli hash della chiave nella console web e nell'output dei comandi elencati in precedenza sono uguali:
Per permettere al sistema di avvio anticipato di elaborare il binding del disco, clicchi su in fondo alla barra di navigazione sinistra e inserisca i seguenti comandi:
# yum install clevis-dracut # dracut -fv --regenerate-all
Fasi di verifica
Controlli che la nuova chiave Tang aggiunta sia ora elencata nella sezione Keys con il tipo
Keyserver:
Verifichi che i binding siano disponibili per l'avvio anticipato, per esempio:
# lsinitrd | grep clevis clevis clevis-pin-sss clevis-pin-tang clevis-pin-tpm2 -rwxr-xr-x 1 root root 1600 Feb 11 16:30 usr/bin/clevis -rwxr-xr-x 1 root root 1654 Feb 11 16:30 usr/bin/clevis-decrypt ... -rwxr-xr-x 2 root root 45 Feb 11 16:30 usr/lib/dracut/hooks/initqueue/settled/60-clevis-hook.sh -rwxr-xr-x 1 root root 2257 Feb 11 16:30 usr/libexec/clevis-luks-askpass
'%20d='M201.5%20305.5c-13.8%200-24.9-11.1-24.9-24.6%200-13.8%2011.1-24.9%2024.9-24.9%2013.6%200%2024.6%2011.1%2024.6%2024.9%200%2013.6-11.1%2024.6-24.6%2024.6zM504%20256c0%20137-111%20248-248%20248S8%20393%208%20256%20119%208%20256%208s248%20111%20248%20248zm-132.3-41.2c-9.4%200-17.7%203.9-23.8%2010-22.4-15.5-52.6-25.5-86.1-26.6l17.4-78.3%2055.4%2012.5c0%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.3%2024.9-24.9s-11.1-24.9-24.9-24.9c-9.7%200-18%205.8-22.1%2013.8l-61.2-13.6c-3-.8-6.1%201.4-6.9%204.4l-19.1%2086.4c-33.2%201.4-63.1%2011.3-85.5%2026.8-6.1-6.4-14.7-10.2-24.1-10.2-34.9%200-46.3%2046.9-14.4%2062.8-1.1%205-1.7%2010.2-1.7%2015.5%200%2052.6%2059.2%2095.2%20132%2095.2%2073.1%200%20132.3-42.6%20132.3-95.2%200-5.3-.6-10.8-1.9-15.8%2031.3-16%2019.8-62.5-14.9-62.5zM302.8%20331c-18.2%2018.2-76.1%2017.9-93.6%200-2.2-2.2-6.1-2.2-8.3%200-2.5%202.5-2.5%206.4%200%208.6%2022.8%2022.8%2087.3%2022.8%20110.2%200%202.5-2.2%202.5-6.1%200-8.6-2.2-2.2-6.1-2.2-8.3%200zm7.7-75c-13.6%200-24.6%2011.1-24.6%2024.9%200%2013.6%2011.1%2024.6%2024.6%2024.6%2013.8%200%2024.9-11.1%2024.9-24.6%200-13.8-11-24.9-24.9-24.9z'/%3e%3c/svg%3e){kind=small}