4.10.6. 루트 볼륨의 수동 등록 구성
기존 LUKS 암호화된 루트 볼륨의 잠금을 자동으로 해제하려면 clevis-luks 하위 패키지를 설치하고 clevis luks bind 명령을 사용하여 볼륨을 Tang 서버에 바인딩합니다.
~]# yum install clevis-luks~]# clevis luks bind -d /dev/sda tang '{"url":"http://tang.srv"}'
The advertisement contains the following signing keys:
_OsIk0T-E2l6qjfdDiwVmidoZjA
Do you wish to trust these keys? [ynYN] y
You are about to initialize a LUKS device for metadata storage.
Attempting to initialize it may result in data loss if data was
already written into the LUKS header gap in a different format.
A backup is advised before initialization is performed.
Do you wish to initialize /dev/sda? [yn] y
Enter existing LUKS password:
이 명령은 다음 네 가지 단계를 수행합니다.
- LUKS 마스터 키와 동일한 엔트로피를 사용하여 새 키를 만듭니다.
- Clevis를 사용하여 새 키를 암호화합니다.
- LUKSMeta를 사용하여 LUKS 헤더에 Clevis JWE 오브젝트를 저장합니다.
- LUKS에 사용할 새 키를 활성화합니다.
이 디스크는 이제 Clevis 정책과 함께 기존 암호를 사용하여 잠금 해제할 수 있습니다. 자세한 내용은
clevis-luks-bind(1) 매뉴얼 페이지를 참조하십시오.
참고
바인딩 절차에서는 사용 가능한 LUKS 암호 슬롯이 하나 이상 있다고 가정합니다. clevis luks bind 명령은 슬롯 중 하나를 사용합니다.
Clevis JWE 오브젝트가 LUKS 헤더에 성공적으로 배치되었는지 확인하려면 luksmeta show 명령을 사용합니다.
~]# luksmeta show -d /dev/sda
0 active empty
1 active cb6e8904-81ff-40da-a84a-07ab9ab5715e
2 inactive empty
3 inactive empty
4 inactive empty
5 inactive empty
6 inactive empty
7 inactive empty
초기 부팅 시스템이 디스크 바인딩을 처리할 수 있도록 하려면 이미 설치된 시스템에서 다음 명령을 입력합니다.
~]# yum install clevis-dracut ~]# dracut -f --regenerate-all
중요
고정 IP 구성(DHCP 제외)이 있는 클라이언트에 대해 DASD를 사용하려면 네트워크 구성을 수동으로 dracut 툴에 전달합니다. 예를 들면 다음과 같습니다.
~]# dracut -f --regenerate-all --kernel-cmdline "ip=192.0.2.10 netmask=255.255.255.0 gateway=192.0.2.1 nameserver=192.0.2.45"
또는 정적 네트워크 정보를 사용하여
/etc/dracut.conf.d/ 디렉터리에 .conf 파일을 만듭니다. 예를 들어 다음과 같습니다.
~]# cat /etc/dracut.conf.d/static_ip.conf
kernel_cmdline="ip=10.0.0.103 netmask=255.255.252.0 gateway=10.0.0.1 nameserver=10.0.0.1"
초기 RAM 디스크 이미지를 다시 생성합니다.
~]# dracut -f --regenerate-all
자세한 내용은
dracut.cmdline(7) 매뉴얼 페이지를 참조하십시오.
