9.6. LUKS 暗号化ボリュームのロックを自動解除するように NBDE クライアントを設定する

手順

1. 既存の LUKS 暗号化ボリュームのロックを自動的に解除するには、clevis-luks サブパッケージをインストールします。

   # dnf install clevis-luks

   Copy to Clipboard Toggle word wrap

2. PBD 用 LUKS 暗号化ボリュームを特定します。次の例では、ブロックデバイスは /dev/sda2 と呼ばれています。

   # lsblk
   NAME                                          MAJ:MIN RM   SIZE RO TYPE  MOUNTPOINT
   sda                                             8:0    0    12G  0 disk
   ├─sda1                                          8:1    0     1G  0 part  /boot
   └─sda2                                          8:2    0    11G  0 part
     └─luks-40e20552-2ade-4954-9d56-565aa7994fb6 253:0    0    11G  0 crypt
       ├─rhel-root                               253:0    0   9.8G  0 lvm   /
       └─rhel-swap                               253:1    0   1.2G  0 lvm   [SWAP]

   Copy to Clipboard Toggle word wrap

3. clevis luks bind コマンドを使用してボリュームを Tang サーバーにバインドします。

   # clevis luks bind -d /dev/sda2 tang '{"url":"http://tang.srv"}'
   The advertisement contains the following signing keys:
   
   _OsIk0T-E2l6qjfdDiwVmidoZjA
   
   Do you wish to trust these keys? [ynYN] y
   You are about to initialize a LUKS device for metadata storage.
   Attempting to initialize it may result in data loss if data was
   already written into the LUKS header gap in a different format.
   A backup is advised before initialization is performed.
   
   Do you wish to initialize /dev/sda2? [yn] y
   Enter existing LUKS password:

   Copy to Clipboard Toggle word wrap

   このコマンドは、以下の 4 つの手順を実行します。

   1. LUKS マスター鍵と同じエントロピーを使用して、新しい鍵を作成します。
   2. Clevis で新しい鍵を暗号化します。
   3. LUKS2 ヘッダートークンに Clevis JWE オブジェクトを保存するか、デフォルト以外の LUKS1 ヘッダーが使用されている場合は LUKSMeta を使用します。
   4. LUKS を使用する新しい鍵を有効にします。
   注記

   このバインド手順では、少なくとも 1 つの LUKS パスワードの空きスロットがヘッダーにあることを前提としています。そのスロットの 1 つを clevis luks bind コマンドが使用します。

   これで、既存のパスワードと Clevis ポリシーを使用してボリュームのロックを解除できるようになりました。

4. システムの起動プロセスの初期段階でディスクバインディングを処理するには、インストール済みのシステムで dracut ツールを使用します。RHEL では、Clevis はホスト固有の設定オプションを指定せずに汎用 initrd (初期 RAM ディスク) を生成し、カーネルコマンドラインに rd.neednet=1 などのパラメーターを自動的に追加しません。初期の起動時にネットワークを必要とする Tang ピンを使用する場合は、--hostonly-cmdline 引数を使用し、dracut が Tang バインディングを検出すると rd.neednet=1 を追加します。

   1. clevis-dracut パッケージをインストールします。

      # dnf install clevis-dracut

      Copy to Clipboard Toggle word wrap

   2. 初期 RAM ディスクを再生成します。

      # dracut -fv --regenerate-all --hostonly-cmdline

      Copy to Clipboard Toggle word wrap

   3. または、/etc/dracut.conf.d/ ディレクトリーに .conf ファイルを作成し、そのファイルに hostonly_cmdline=yes オプションを追加します。すると、--hostonly-cmdline なしで dracut を使用できます。次に例を示します。

      # echo "hostonly_cmdline=yes" > /etc/dracut.conf.d/clevis.conf
      # dracut -fv --regenerate-all

      Copy to Clipboard Toggle word wrap

   4. Clevis がインストールされているシステムで grubby ツールを使用して、システム起動時の早い段階で Tang ピンのネットワークを利用できるようにすることができます。

      # grubby --update-kernel=ALL --args="rd.neednet=1"

      Copy to Clipboard Toggle word wrap

検証

1. Clevis JWE オブジェクトが LUKS ヘッダーに正常に配置されていることを確認します。clevis luks list コマンドを使用します。

   # clevis luks list -d /dev/sda2
   1: tang '{"url":"http://tang.srv:port"}'

   Copy to Clipboard Toggle word wrap

2. バインディングが初期ブートで使用できることを確認します。次に例を示します。

   # lsinitrd | grep clevis-luks
   lrwxrwxrwx   1 root     root           48 Jan  4 02:56 etc/systemd/system/cryptsetup.target.wants/clevis-luks-askpass.path -> /usr/lib/systemd/system/clevis-luks-askpass.path
   …

   Copy to Clipboard Toggle word wrap