10.4. 在 web 控制台中使用 Tang 密钥配置自动解锁
您可以使用 Tang 服务器提供的密钥配置 LUKS 加密存储设备的自动解锁。
先决条件
您已安装了 RHEL 9 web 控制台。
具体步骤请参阅安装并启用 Web 控制台。
-
cockpit-storaged和clevis-luks软件包已安装在您的系统上。 -
cockpit.socket服务运行在9090端口。 - Tang 服务器可用。详情请参阅 使用 SELinux enforcing 模式部署 Tang 服务器。
-
您有
root特权或权限来使用sudo输入管理命令的命令。
步骤
登录到 RHEL 9 web 控制台。
详情请参阅 登录到 web 控制台。
- 切换到管理访问权限,提供您的凭据,然后单击 。在 Storage 表中,点包含您计划添加的加密卷的磁盘,来自动解锁。
在以下巨有所选磁盘详情的页面中,点 Keys 部分中的 来添加 Tang 密钥:
选择
Tang keyserver作为Key source,提供 Tang 服务器的地址,以及解锁 LUKS 加密设备的密码。点击 确认:
以下对话框窗口提供了一个命令来验证密钥哈希是否匹配。
在 Tang 服务器上的终端中,使用
tang-show-keys命令来显示密钥哈希以进行比较。在本例中,Tang 服务器运行在端口 7500 上:# tang-show-keys 7500 x100_1k6GPiDOaMlL3WbpCjHOy9ul1bSfdhI3M08wO0当 web 控制台中的密钥哈希与之前列出的命令的输出中的密钥哈希相同时,请点击 :
-
在 RHEL 9.2 及更高版本中,选择了加密的根文件系统和 Tang 服务器后,您可以跳过向内核命令行中添加
rd.neednet=1参数,安装clevis-dracut软件包,并重新生成一个初始 RAM 磁盘(initrd)。对于非 root 文件系统,web 控制台现在启用remote-cryptsetup.target和clevis-luks-akspass.pathsystemd单元,安装clevis-systemd软件包,并将_netdev参数添加到fstab和crypttab配置文件中。
验证
检查新添加的 Tang 密钥现在是否在 Keys 部分中列出,且类型为
Keyserver:
验证绑定是否在早期引导时可用,例如:
# lsinitrd | grep clevis-luks lrwxrwxrwx 1 root root 48 Jan 4 02:56 etc/systemd/system/cryptsetup.target.wants/clevis-luks-askpass.path -> /usr/lib/systemd/system/clevis-luks-askpass.path …
其他资源
