SuporteConsoleDesenvolvedoresComeçar um testeContato

9.5. Configuração do desbloqueio automático usando uma chave Tang no console web

Configurar o desbloqueio automático de um dispositivo de armazenamento criptografado LUKS usando uma chave fornecida por um servidor Tang.

Pré-requisitos

  • O console web RHEL 8 foi instalado.

    Para detalhes, consulte Instalando o console web.

  • O pacote cockpit-storaged está instalado em seu sistema.
  • O serviço cockpit.socket está funcionando no porto 9090.
  • Os pacotes clevis, tang, e clevis-dracut estão instalados.
  • Um servidor Tang está funcionando.

Procedimento

  1. Abra o console web RHEL digitando o seguinte endereço em um navegador web: 

    https://localhost:9090

    Substitua a parte localhost pelo nome do host ou endereço IP do servidor remoto quando você se conectar a um sistema remoto.

  2. Forneça suas credenciais e clique em Armazenamento. Selecione um dispositivo criptografado e clique em Criptografia na parte Content:

  3. Clique em na seção Keys para adicionar uma chave Tang:

    RHEL web console: Encryption

  4. Forneça o endereço de seu servidor Tang e uma senha que destrave o dispositivo criptografado LUKS. Clique em Adicionar para confirmar:

    RHEL web console: Add Tang key

  5. A janela de diálogo a seguir fornece um comando para verificar se o hash chave corresponde. RHEL 8.2 

    # tang-show-keys 7500
3ZWS6-cDrCG61UPJS2BMmPU4I54

    No RHEL 8.1 e anteriores, obtenha o hash chave usando o seguinte comando: 

    # curl -s localhost:7500/adv | jose fmt -j- -g payload -y -o- | jose jwk use -i- -r -u verify -o- | jose jwk thp -i-
3ZWS6-cDrCG61UPJS2BMmPU4I54

  6. Clique em Trust key quando os hashes da chave no console web e na saída dos comandos listados anteriormente são os mesmos:

    RHEL web console: Verify Tang key

  7. Para ativar o sistema de inicialização antecipada para processar a encadernação do disco, clique em Terminal na parte inferior da barra de navegação esquerda e digite os seguintes comandos: 

    # yum install clevis-dracut
# dracut -fv --regenerate-all

Etapas de verificação

  1. Verifique se a chave Tang recentemente adicionada está agora listada na seção Keys com o tipo Keyserver:

    RHEL web console: A keyserver key is listed

  2. Verificar se as amarrações estão disponíveis para a inicialização antecipada, por exemplo: 

    # lsinitrd | grep clevis
clevis
clevis-pin-sss
clevis-pin-tang
clevis-pin-tpm2
-rwxr-xr-x   1 root     root         1600 Feb 11 16:30 usr/bin/clevis
-rwxr-xr-x   1 root     root         1654 Feb 11 16:30 usr/bin/clevis-decrypt
...
-rwxr-xr-x   2 root     root           45 Feb 11 16:30 usr/lib/dracut/hooks/initqueue/settled/60-clevis-hook.sh
-rwxr-xr-x   1 root     root         2257 Feb 11 16:30 usr/libexec/clevis-luks-askpass

Recursos adicionais

  • Para mais detalhes sobre a instalação e login no console web RHEL, consulte o capítulo Introdução ao uso do console web RHEL.
Red Hat logoGithubRedditYoutubeTwitter

Aprender

Experimente, compre e venda

Comunidades

Sobre a documentação da Red Hat

Ajudamos os usuários da Red Hat a inovar e atingir seus objetivos com nossos produtos e serviços com conteúdo em que podem confiar.

Tornando o open source mais inclusivo

A Red Hat está comprometida em substituir a linguagem problemática em nosso código, documentação e propriedades da web. Para mais detalhes veja oBlog da Red Hat.

Sobre a Red Hat

Fornecemos soluções robustas que facilitam o trabalho das empresas em plataformas e ambientes, desde o data center principal até a borda da rede.

© 2024 Red Hat, Inc.