Kapitel 23. Konfigurieren des automatischen Entsperrens mit einem Tang-Schlüssel in der Web-Konsole

Konfigurieren Sie die automatische Entsperrung eines LUKS-verschlüsselten Speichergeräts mit einem von einem Tang-Server bereitgestellten Schlüssel.

Voraussetzungen

  • Die RHEL 8 Web-Konsole wurde installiert.

    Details finden Sie unter Installieren der Web-Konsole.

  • Das Paket cockpit-storaged ist auf Ihrem System installiert.
  • Der Dienst cockpit.socket läuft auf Port 9090.
  • Die Pakete clevis, tang, und clevis-dracut sind installiert.
  • Es läuft ein Tang-Server.

Verfahren

  1. Öffnen Sie die RHEL-Webkonsole, indem Sie die folgende Adresse in einen Webbrowser eingeben: 

    https://localhost:9090

    Ersetzen Sie den Teil localhost durch den Hostnamen oder die IP-Adresse des Remote-Servers, wenn Sie eine Verbindung zu einem Remote-System herstellen.

  2. Geben Sie Ihre Anmeldedaten ein und klicken Sie auf Speicher. Wählen Sie ein verschlüsseltes Gerät und klicken Sie im Teil Content auf Verschlüsselung:

  3. Klicken Sie auf im Bereich Keys, um einen Tang-Schlüssel hinzuzufügen:

    RHEL web console: Encryption

  4. Geben Sie die Adresse Ihres Tang-Servers und ein Passwort an, das das LUKS-verschlüsselte Gerät entsperrt. Klicken Sie zum Bestätigen auf Hinzufügen:

    RHEL web console: Add Tang key

  5. Das folgende Dialogfenster bietet einen Befehl, um zu überprüfen, ob der Schlüssel-Hash übereinstimmt. Mit RHEL 8.2 wurde das Skript tang-show-keys eingeführt, und Sie können den Schlüssel-Hash mit dem folgenden Befehl auf dem Tang-Server abrufen, der auf dem Port 7500 läuft: 

    # tang-show-keys 7500
3ZWS6-cDrCG61UPJS2BMmPU4I54

    Unter RHEL 8.1 und früher erhalten Sie den Schlüssel-Hash mit dem folgenden Befehl: 

    # curl -s localhost:7500/adv | jose fmt -j- -g payload -y -o- | jose jwk use -i- -r -u verify -o- | jose jwk thp -i-
3ZWS6-cDrCG61UPJS2BMmPU4I54

  6. Klicken Sie auf Schlüssel vertrauen, wenn die Schlüssel-Hashes in der Web-Konsole und in der Ausgabe der zuvor aufgeführten Befehle übereinstimmen:

    RHEL web console: Verify Tang key

  7. Um das Frühstartsystem zu aktivieren, damit es die Festplattenbindung verarbeitet, klicken Sie unten in der linken Navigationsleiste auf Terminal und geben Sie die folgenden Befehle ein: 

    # yum install clevis-dracut
# dracut -fv --regenerate-all

Schritte zur Verifizierung

  1. Prüfen Sie, ob der neu hinzugefügte Tang-Schlüssel nun im Bereich Keys mit dem Typ Keyserver aufgeführt ist:

    RHEL web console: A keyserver key is listed

  2. Vergewissern Sie sich, dass die Bindungen z. B. für den frühen Start verfügbar sind: 

    # lsinitrd | grep clevis
clevis
clevis-pin-sss
clevis-pin-tang
clevis-pin-tpm2
-rwxr-xr-x   1 root     root         1600 Feb 11 16:30 usr/bin/clevis
-rwxr-xr-x   1 root     root         1654 Feb 11 16:30 usr/bin/clevis-decrypt
...
-rwxr-xr-x   2 root     root           45 Feb 11 16:30 usr/lib/dracut/hooks/initqueue/settled/60-clevis-hook.sh
-rwxr-xr-x   1 root     root         2257 Feb 11 16:30 usr/libexec/clevis-luks-askpass

Zusätzliche Ressourcen