ホーム
製品
Red Hat Enterprise Linux
8
セキュリティーの強化
10.8. TPM 2.0 ポリシーを使用して LUKS 暗号化ボリュームの手動登録を設定する

10.8. TPM 2.0 ポリシーを使用して LUKS 暗号化ボリュームの手動登録を設定する

Trusted Platform Module 2.0 (TPM 2.0) ポリシーを使用して、LUKS 暗号化ボリュームのロック解除を設定できます。

前提条件

アクセス可能な TPM2.0 互換デバイス。
システムが 64 ビット Intel アーキテクチャー、または 64 ビット AMD アーキテクチャーである。

手順

既存の LUKS 暗号化ボリュームのロックを自動的に解除するには、clevis-luks サブパッケージをインストールします。
```
yum install clevis-luks
```
```
# yum install clevis-luks
```
Copy to Clipboard Toggle word wrap

PBD 用 LUKS 暗号化ボリュームを特定します。次の例では、ブロックデバイスは /dev/sda2 と呼ばれています。

lsblk

# lsblk
NAME                                          MAJ:MIN RM   SIZE RO TYPE  MOUNTPOINT
sda                                             8:0    0    12G  0 disk
├─sda1                                          8:1    0     1G  0 part  /boot
└─sda2                                          8:2    0    11G  0 part
  └─luks-40e20552-2ade-4954-9d56-565aa7994fb6 253:0    0    11G  0 crypt
    ├─rhel-root                               253:0    0   9.8G  0 lvm   /
    └─rhel-swap                               253:1    0   1.2G  0 lvm   [SWAP]

Copy to Clipboard

Toggle word wrap

clevis luks bind コマンドを使用して、ボリュームを TPM 2.0 デバイスにバインドします。以下に例を示します。
```
clevis luks bind -d /dev/sda2 tpm2 '{"hash":"sha256","key":"rsa"}'
```
```
# clevis luks bind -d /dev/sda2 tpm2 '{"hash":"sha256","key":"rsa"}'
...
Do you wish to initialize /dev/sda2? [yn] y
Enter existing LUKS password:
```
Copy to Clipboard Toggle word wrap
このコマンドは、以下の 4 つの手順を実行します。
1. LUKS マスター鍵と同じエントロピーを使用して、新しい鍵を作成します。
2. Clevis で新しい鍵を暗号化します。
3. LUKS2 ヘッダートークンに Clevis JWE オブジェクトを保存するか、デフォルト以外の LUKS1 ヘッダーが使用されている場合は LUKSMeta を使用します。
4. LUKS を使用する新しい鍵を有効にします。
  注記
  バインド手順では、空き LUKS パスワードスロットが少なくとも 1 つあることが前提となっています。そのスロットの 1 つを clevis luks bind コマンドが使用します。
  あるいは、特定の Platform Configuration Registers (PCR) の状態にデータをシールする場合は、clevis luks bind コマンドに pcr_bank と pcr_ids 値を追加します。以下に例を示します。
  # clevis luks bind -d /dev/sda2 tpm2 '{"hash":"sha256","key":"rsa","pcr_bank":"sha256","pcr_ids":"0,1"}'
  Copy to Clipboard Toggle word wrap
  重要
  PCR ハッシュ値がシール時に使用されるポリシーと一致し、ハッシュを書き換えることができる場合にのみ、データをアンシールできるため、PCR の値が変更された場合、暗号化されたボリュームのロックを手動で解除できる強力なパスフレーズを追加します。
  shim-x64 パッケージをアップグレードした後、システムが暗号化されたボリュームのロックを自動的に解除できない場合は、Red Hat ナレッジベースソリューション Clevis TPM2 no longer decrypts LUKS devices after a restart を参照してください。
ボリュームは、現在、既存のパスワードと Clevis ポリシーを使用してロックを解除できます。
システムの起動プロセスの初期段階でディスクバインディングを処理するようにするには、インストール済みのシステムで dracut ツールを使用します。
```
yum install clevis-dracut
dracut -fv --regenerate-all
```
```
# yum install clevis-dracut
# dracut -fv --regenerate-all
```
Copy to Clipboard Toggle word wrap

検証

Clevis JWE オブジェクトが LUKS ヘッダーに適切に置かれていることを確認するには、clevis luks list コマンドを使用します。
```
clevis luks list -d /dev/sda2
```
```
# clevis luks list -d /dev/sda2
1: tpm2 '{"hash":"sha256","key":"rsa"}'
```
Copy to Clipboard Toggle word wrap

トップに戻る

10.8. TPM 2.0 ポリシーを使用して LUKS 暗号化ボリュームの手動登録を設定する

詳細情報

試用、購入および販売

コミュニティー

Red Hat ドキュメントについて

多様性を受け入れるオープンソースの強化

会社概要

Theme

Red Hat legal and privacy links

Red Hat legal and privacy links