Red Hat Training

A Red Hat training course is available for RHEL 8

9.9. Configuración de la inscripción manual de volúmenes cifrados con LUKS

Siga los siguientes pasos para configurar el desbloqueo de volúmenes cifrados con LUKS con NBDE.

Requisito previo

  • Un servidor Tang está funcionando y está disponible.

Procedimiento

  1. Para desbloquear automáticamente un volumen cifrado con LUKS, instale el subpaquete clevis-luks: 

    # yum install clevis-luks

  2. Identifique el volumen cifrado por LUKS para PBD. En el siguiente ejemplo, el dispositivo de bloque se denomina /dev/sda2: 

    # lsblk
NAME                                          MAJ:MIN RM   SIZE RO TYPE  MOUNTPOINT
sda                                             8:0    0    12G  0 disk
├─sda1                                          8:1    0     1G  0 part  /boot
└─sda2                                          8:2    0    11G  0 part
  └─luks-40e20552-2ade-4954-9d56-565aa7994fb6 253:0    0    11G  0 crypt
    ├─rhel-root                               253:0    0   9.8G  0 lvm   /
    └─rhel-swap                               253:1    0   1.2G  0 lvm   [SWAP]

  3. Vincule el volumen a un servidor Tang utilizando el comando clevis luks bind: 

    # clevis luks bind -d /dev/sda2 tang '{"url":"http://tang.srv"}'
The advertisement contains the following signing keys:

_OsIk0T-E2l6qjfdDiwVmidoZjA

Do you wish to trust these keys? [ynYN] y
You are about to initialize a LUKS device for metadata storage.
Attempting to initialize it may result in data loss if data was
already written into the LUKS header gap in a different format.
A backup is advised before initialization is performed.

Do you wish to initialize /dev/sda2? [yn] y
Enter existing LUKS password:

    Este comando realiza cuatro pasos:

    1. Crea una nueva clave con la misma entropía que la clave maestra LUKS.
    2. Cifra la nueva clave con la horquilla.
    3. Almacena el objeto Clevis JWE en el token de la cabecera LUKS2 o utiliza LUKSMeta si se utiliza la cabecera LUKS1 no predeterminada.

    4. Habilita la nueva clave para su uso con LUKS.

      Nota

      El procedimiento de vinculación supone que hay al menos una ranura de contraseña LUKS libre. El comando clevis luks bind toma una de las ranuras.

  4. El volumen se puede desbloquear ahora con su contraseña existente, así como con la política de la horquilla.

  5. Para permitir que el sistema de arranque temprano procese la unión de discos, introduzca los siguientes comandos en un sistema ya instalado: 

    # yum install clevis-dracut
# dracut -fv --regenerate-all

Pasos de verificación

  1. Para comprobar que el objeto JWE de la horquilla se ha colocado correctamente en una cabecera LUKS, utilice el comando clevis luks list: 

    # clevis luks list -d /dev/sda2
1: tang '{"url":"http://tang.srv:port"}'
Importante

Para utilizar NBDE para clientes con configuración IP estática (sin DHCP), pase su configuración de red a la herramienta dracut manualmente, por ejemplo: 

# dracut -fv --regenerate-all --kernel-cmdline "ip=192.0.2.10::192.0.2.1:255.255.255.0::ens3:none:192.0.2.45"

Como alternativa, cree un archivo .conf en el directorio /etc/dracut.conf.d/ con la información de red estática. Por ejemplo: 

# cat /etc/dracut.conf.d/static_ip.conf
kernel_cmdline="ip=192.0.2.10::192.0.2.1:255.255.255.0::ens3:none:192.0.2.45"

Regenerar la imagen inicial del disco RAM: 

# dracut -fv --regenerate-all

Recursos adicionales

Para más información, consulte las siguientes páginas de manual:

  • clevis-luks-bind(1)
  • dracut.cmdline(7)