9.9. Configuração da inscrição manual de volumes criptografados LUKS
Use os seguintes passos para configurar o desbloqueio de volumes codificados com LUKS com NBDE.
Pré-requisito
- Um servidor Tang está funcionando e disponível.
Procedimento
Para desbloquear automaticamente um volume encriptado de LUKS existente, instale o subpacote
clevis-luks:# yum install clevis-luksIdentificar o volume criptografado LUKS para PBD. No exemplo a seguir, o dispositivo de bloco é referido como /dev/sda2:
# lsblk NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT sda 8:0 0 12G 0 disk ├─sda1 8:1 0 1G 0 part /boot └─sda2 8:2 0 11G 0 part └─luks-40e20552-2ade-4954-9d56-565aa7994fb6 253:0 0 11G 0 crypt ├─rhel-root 253:0 0 9.8G 0 lvm / └─rhel-swap 253:1 0 1.2G 0 lvm [SWAP]Ligar o volume a um servidor Tang usando o comando
clevis luks bind:# clevis luks bind -d /dev/sda2 tang '{"url":"http://tang.srv"}' The advertisement contains the following signing keys: _OsIk0T-E2l6qjfdDiwVmidoZjA Do you wish to trust these keys? [ynYN] y You are about to initialize a LUKS device for metadata storage. Attempting to initialize it may result in data loss if data was already written into the LUKS header gap in a different format. A backup is advised before initialization is performed. Do you wish to initialize /dev/sda2? [yn] y Enter existing LUKS password:Este comando executa quatro etapas:
- Cria uma nova chave com a mesma entropia que a chave mestra LUKS.
- Criptografa a nova chave com Clevis.
- Armazena o objeto Clevis JWE no símbolo de cabeçalho LUKS2 ou usa LUKSMeta se for usado o cabeçalho LUKS1 sem defeito.
Permite a nova chave para uso com LUKS.
NotaO procedimento de encadernação pressupõe que haja pelo menos um slot de senha LUKS livre. O comando
clevis luks bindpega um dos slots.
- O volume agora pode ser desbloqueado com sua senha existente, assim como com a política Clevis.
Para habilitar o sistema de inicialização antecipada para processar a encadernação do disco, digite os seguintes comandos em um sistema já instalado:
# yum install clevis-dracut # dracut -fv --regenerate-all
Etapas de verificação
Para verificar se o objeto Clevis JWE é colocado com sucesso em um cabeçalho LUKS, use o comando
clevis luks list:# clevis luks list -d /dev/sda2 1: tang '{"url":"http://tang.srv:port"}'
Para utilizar NBDE para clientes com configuração IP estática (sem DHCP), passe sua configuração de rede para a ferramenta dracut manualmente, por exemplo:
# dracut -fv --regenerate-all --kernel-cmdline "ip=192.0.2.10::192.0.2.1:255.255.255.0::ens3:none:192.0.2.45"
Alternativamente, crie um arquivo .conf no diretório /etc/dracut.conf.d/ com as informações estáticas da rede. Por exemplo, um arquivo .conf:
# cat /etc/dracut.conf.d/static_ip.conf
kernel_cmdline="ip=192.0.2.10::192.0.2.1:255.255.255.0::ens3:none:192.0.2.45"Regenerar a imagem inicial do disco RAM:
# dracut -fv --regenerate-allRecursos adicionais
Para mais informações, consulte as seguintes páginas de homem:
-
clevis-luks-bind(1) -
dracut.cmdline(7)
