9.11. 使用 Kickstart 配置 LUKS 加密的卷的自动注册

流程

1. 指示 Kickstart 对磁盘进行分区，以便使用临时密码为所有挂载点（除 /boot ）启用了 LUKS 加密。注册过程的这一步中的密码是临时密码。

   part /boot --fstype="xfs" --ondisk=vda --size=256
   part / --fstype="xfs" --ondisk=vda --grow --encrypted --passphrase=temppass

   Copy to Clipboard Toggle word wrap

   请注意，兼容 OSPP 的系统需要更复杂的配置，例如：

   part /boot --fstype="xfs" --ondisk=vda --size=256
   part / --fstype="xfs" --ondisk=vda --size=2048 --encrypted --passphrase=temppass
   part /var --fstype="xfs" --ondisk=vda --size=1024 --encrypted --passphrase=temppass
   part /tmp --fstype="xfs" --ondisk=vda --size=1024 --encrypted --passphrase=temppass
   part /home --fstype="xfs" --ondisk=vda --size=2048 --grow --encrypted --passphrase=temppass
   part /var/log --fstype="xfs" --ondisk=vda --size=1024 --encrypted --passphrase=temppass
   part /var/log/audit --fstype="xfs" --ondisk=vda --size=1024 --encrypted --passphrase=temppass

   Copy to Clipboard Toggle word wrap

2. 通过在 %packages 部分中列出它们来安装相关的 Clevis 软件包：

   %packages
   clevis-dracut
   clevis-luks
   clevis-systemd
   %end

   Copy to Clipboard Toggle word wrap
3. 可选： 要确保您可以根据需要手动解锁加密的卷，请在删除临时密码短语前添加更强大的密码短语。如需更多信息，请参阅 如何给现有 LUKS 设备添加密语、密钥或 keyfile 的文章。

4. 在 %post 部分中调用 clevis luks bind 来执行绑定。之后，删除临时密码：

   %post
   clevis luks bind -y -k - -d /dev/vda2 \
   tang '{"url":"http://tang.srv"}' <<< "temppass"
   cryptsetup luksRemoveKey /dev/vda2 <<< "temppass"
   dracut -fv --regenerate-all
   %end

   Copy to Clipboard Toggle word wrap

   如果您的配置依赖于在早期引导过程中需要网络的 Tang pin，或者使用带有静态 IP 配置的 NBDE 客户端，您必须修改 dracut 命令，如 使用静态 IP 配置配置 NBDE 客户端 中所述。

   警告

   cryptsetup luksRemoveKey 命令可以防止对应用该命令的 LUKS2 设备进行任何进一步的管理。您只能对 LUKS1 设备使用 dmsetup 命令恢复删除的主密钥。