Red Hat Training

A Red Hat training course is available for RHEL 8

15.15.5. Configuración del desbloqueo automático mediante una llave Tang en la consola web

Configure el desbloqueo automático de un dispositivo de almacenamiento cifrado con LUKS utilizando una clave proporcionada por un servidor Tang.

Requisitos previos

  • Se ha instalado la consola web de RHEL 8.

    Para más detalles, véase Instalación de la consola web.

  • El paquete cockpit-storaged está instalado en su sistema.
  • El servicio cockpit.socket se ejecuta en el puerto 9090.
  • Los paquetes clevis, tang, y clevis-dracut están instalados.
  • Se está ejecutando un servidor Tang.

Procedimiento

  1. Abra la consola web de RHEL introduciendo la siguiente dirección en un navegador web:

    https://localhost:9090

    Sustituya la parte localhost por el nombre del servidor remoto o la dirección IP cuando se conecte a un sistema remoto.

  2. Proporcione sus credenciales y haga clic en Almacenamiento. Seleccione un dispositivo cifrado y haga clic en Cifrado en la parte Content:
  3. Haga clic en en la sección Keys para añadir una llave Tang:

    RHEL web console: Encryption
  4. Proporcione la dirección de su servidor Tang y una contraseña que desbloquee el dispositivo cifrado con LUKS. Haz clic en Añadir para confirmar:

    RHEL web console: Add Tang key
  5. The following dialog window provides a command to verify that the key hash matches. RHEL 8.2 introduced the tang-show-keys script, and you can obtain the key hash using the following command on the Tang server running on the port 7500:

    # tang-show-keys 7500
    3ZWS6-cDrCG61UPJS2BMmPU4I54

    En RHEL 8.1 y anteriores, obtenga el hash de la clave utilizando el siguiente comando:

    # curl -s localhost:7500/adv | jose fmt -j- -g payload -y -o- | jose jwk use -i- -r -u verify -o- | jose jwk thp -i-
    3ZWS6-cDrCG61UPJS2BMmPU4I54
  6. Haga clic en Confiar en la clave cuando los hashes de la clave en la consola web y en la salida de los comandos enumerados anteriormente sean iguales:

    RHEL web console: Verify Tang key
  7. Para permitir que el sistema de arranque temprano procese la unión de discos, haga clic en Terminal en la parte inferior de la barra de navegación izquierda e introduzca los siguientes comandos:

    # yum install clevis-dracut
    # dracut -fv --regenerate-all

Pasos de verificación

  1. Compruebe que la clave Tang recién añadida aparece ahora en la sección Keys con el tipo Keyserver:

    RHEL web console: A keyserver key is listed
  2. Comprueba que las fijaciones están disponibles para el arranque temprano, por ejemplo:

    # lsinitrd | grep clevis
    clevis
    clevis-pin-sss
    clevis-pin-tang
    clevis-pin-tpm2
    -rwxr-xr-x   1 root     root         1600 Feb 11 16:30 usr/bin/clevis
    -rwxr-xr-x   1 root     root         1654 Feb 11 16:30 usr/bin/clevis-decrypt
    ...
    -rwxr-xr-x   2 root     root           45 Feb 11 16:30 usr/lib/dracut/hooks/initqueue/settled/60-clevis-hook.sh
    -rwxr-xr-x   1 root     root         2257 Feb 11 16:30 usr/libexec/clevis-luks-askpass

Recursos adicionales