9.11. キックスタートを使用して LUKS 暗号化ボリュームの自動登録を設定する

手順

1. 一時パスワードを使用して、LUKS 暗号化が有効になっているディスクを、/boot 以外のすべてのマウントポイントで分割するように、キックスタートに指示します。パスワードは、登録プロセスの手順に使用するための一時的なものです。

   part /boot --fstype="xfs" --ondisk=vda --size=256
   part / --fstype="xfs" --ondisk=vda --grow --encrypted --passphrase=temppass

   Copy to Clipboard Toggle word wrap

   OSPP 準拠のシステムには、より複雑な設定が必要であることに注意してください。次に例を示します。

   part /boot --fstype="xfs" --ondisk=vda --size=256
   part / --fstype="xfs" --ondisk=vda --size=2048 --encrypted --passphrase=temppass
   part /var --fstype="xfs" --ondisk=vda --size=1024 --encrypted --passphrase=temppass
   part /tmp --fstype="xfs" --ondisk=vda --size=1024 --encrypted --passphrase=temppass
   part /home --fstype="xfs" --ondisk=vda --size=2048 --grow --encrypted --passphrase=temppass
   part /var/log --fstype="xfs" --ondisk=vda --size=1024 --encrypted --passphrase=temppass
   part /var/log/audit --fstype="xfs" --ondisk=vda --size=1024 --encrypted --passphrase=temppass

   Copy to Clipboard Toggle word wrap

2. 関連する Clevis パッケージを %packages セクションに追加して、インストールします。

   %packages
   clevis-dracut
   clevis-luks
   clevis-systemd
   %end

   Copy to Clipboard Toggle word wrap
3. オプション: 必要に応じて暗号化されたボリュームを手動でロック解除できるようにするには、一時パスフレーズを削除する前に、ボリュームに強力なパスフレーズを追加します。

4. clevis luks bind を呼び出して、%post セクションのバインディングを実行します。その後、一時パスワードを削除します。

   %post
   clevis luks bind -y -k - -d /dev/vda2 \
   tang '{"url":"http://tang.srv"}' <<< "temppass"
   cryptsetup luksRemoveKey /dev/vda2 <<< "temppass"
   dracut -fv --regenerate-all
   %end

   Copy to Clipboard Toggle word wrap

   起動初期にネットワークを必要とする Tang ピンに設定が依存している場合、または静的 IP 設定の NBDE クライアントを使用している場合は、静的な IP 設定を持つ NBDE クライアントの設定 の説明に従って dracut コマンドを変更する必要があります。

   警告

   cryptsetup luksRemoveKey コマンドは、それを適用する LUKS2 デバイスがそれ以上に管理されるのを防ぎます。LUKS1 デバイスに対してのみ dmsetup コマンドを使用して、削除されたマスターキーを回復できます。詳細は、システム上の dmsetup(8) man ページを参照してください。