SuporteConsoleDesenvolvedoresComeçar um testeContato

9.10. Configuração da inscrição automatizada de volumes codificados com LUKS usando Kickstart

Siga as etapas deste procedimento para configurar um processo de instalação automatizado que utiliza Clevis para a inscrição de volumes criptografados LUKS.

Procedimento

  1. Instrua o Kickstart a particionar o disco de forma que a criptografia LUKS tenha habilitado para todos os pontos de montagem, exceto /boot, com uma senha temporária. A senha é temporária para esta etapa do processo de inscrição. 

    part /boot --fstype="xfs" --ondisk=vda --size=256
part / --fstype="xfs" --ondisk=vda --grow --encrypted --passphrase=temppass

    Observe que os sistemas de reclamação OSPP requerem uma configuração mais complexa, por exemplo: 

    part /boot --fstype="xfs" --ondisk=vda --size=256
part / --fstype="xfs" --ondisk=vda --size=2048 --encrypted --passphrase=temppass
part /var --fstype="xfs" --ondisk=vda --size=1024 --encrypted --passphrase=temppass
part /tmp --fstype="xfs" --ondisk=vda --size=1024 --encrypted --passphrase=temppass
part /home --fstype="xfs" --ondisk=vda --size=2048 --grow --encrypted --passphrase=temppass
part /var/log --fstype="xfs" --ondisk=vda --size=1024 --encrypted --passphrase=temppass
part /var/log/audit --fstype="xfs" --ondisk=vda --size=1024 --encrypted --passphrase=temppass

  2. Instale os pacotes Clevis relacionados, listando-os na seção %packages: 

    %packages
clevis-dracut
%end

  3. Ligue para clevis luks bind para realizar a encadernação na seção %post. Em seguida, remova a senha temporária: 

    %post
curl -sfg http://tang.srv/adv -o adv.jws
clevis luks bind -f -k- -d /dev/vda2 \
tang '{"url":"http://tang.srv","adv":"adv.jws"}' \ <<< "temppass"
cryptsetup luksRemoveKey /dev/vda2 <<< "temppass"
%end

    No exemplo anterior, observe que baixamos o anúncio do servidor Tang como parte de nossa configuração de encadernação, permitindo que a encadernação seja completamente não-interativa.

    Atenção

    O comando cryptsetup luksRemoveKey impede qualquer administração posterior de um dispositivo LUKS2 no qual você o aplica. Você pode recuperar uma chave mestra removida usando o comando dmsetup somente para dispositivos LUKS1.

Você pode usar um procedimento análogo ao usar uma política TPM 2.0 ao invés de um servidor Tang.

Recursos adicionais

Red Hat logoGithubRedditYoutubeTwitter

Aprender

Experimente, compre e venda

Comunidades

Sobre a documentação da Red Hat

Ajudamos os usuários da Red Hat a inovar e atingir seus objetivos com nossos produtos e serviços com conteúdo em que podem confiar.

Tornando o open source mais inclusivo

A Red Hat está comprometida em substituir a linguagem problemática em nosso código, documentação e propriedades da web. Para mais detalhes veja oBlog da Red Hat.

Sobre a Red Hat

Fornecemos soluções robustas que facilitam o trabalho das empresas em plataformas e ambientes, desde o data center principal até a borda da rede.

© 2024 Red Hat, Inc.