Capitolo 23. Configurare lo sblocco automatico usando una chiave Tang nella console web

Configura lo sblocco automatico di un dispositivo di archiviazione criptato LUKS usando una chiave fornita da un server Tang.

Prerequisiti

  • La console web di RHEL 8 è stata installata.

    Per dettagli, veda Installare la console web.

  • Il pacchetto cockpit-storaged è installato sul suo sistema.
  • Il servizio cockpit.socket è in esecuzione sulla porta 9090.
  • I pacchetti clevis, tang e clevis-dracut sono installati.
  • È in funzione un server Tang.

Procedura

  1. Apra la console web di RHEL inserendo il seguente indirizzo in un browser web: 

    https://localhost:9090

    Sostituisca la parte localhost con il nome host o l'indirizzo IP del server remoto quando si collega a un sistema remoto.

  2. Fornisca le sue credenziali e clicchi su Storage. Selezioni un dispositivo criptato e clicchi Encryption nella parte Content:

  3. Clicchi nella sezione Keys per aggiungere una chiave Tang:

    RHEL web console: Encryption

  4. Fornisca l'indirizzo del suo server Tang e una password che sblocchi il dispositivo criptato LUKS. Clicchi su Aggiungi per confermare:

    RHEL web console: Add Tang key

  5. La seguente finestra di dialogo fornisce un comando per verificare che l'hash della chiave corrisponda. RHEL 8.2 ha introdotto lo script tang-show-keys e può ottenere l'hash della chiave usando il seguente comando sul server Tang in esecuzione sulla porta 7500: 

    # tang-show-keys 7500
3ZWS6-cDrCG61UPJS2BMmPU4I54

    Su RHEL 8.1 e precedenti, ottenga l'hash della chiave usando il seguente comando: 

    # curl -s localhost:7500/adv | jose fmt -j- -g payload -y -o- | jose jwk use -i- -r -u verify -o- | jose jwk thp -i-
3ZWS6-cDrCG61UPJS2BMmPU4I54

  6. Clicchi su Trust key quando gli hash della chiave nella console web e nell'output dei comandi elencati in precedenza sono uguali:

    RHEL web console: Verify Tang key

  7. Per permettere al sistema di avvio anticipato di elaborare il binding del disco, clicchi su Terminale in fondo alla barra di navigazione sinistra e inserisca i seguenti comandi: 

    # yum install clevis-dracut
# dracut -fv --regenerate-all

Fasi di verifica

  1. Controlli che la nuova chiave Tang aggiunta sia ora elencata nella sezione Keys con il tipo Keyserver:

    RHEL web console: A keyserver key is listed

  2. Verifichi che i binding siano disponibili per l'avvio anticipato, per esempio: 

    # lsinitrd | grep clevis
clevis
clevis-pin-sss
clevis-pin-tang
clevis-pin-tpm2
-rwxr-xr-x   1 root     root         1600 Feb 11 16:30 usr/bin/clevis
-rwxr-xr-x   1 root     root         1654 Feb 11 16:30 usr/bin/clevis-decrypt
...
-rwxr-xr-x   2 root     root           45 Feb 11 16:30 usr/lib/dracut/hooks/initqueue/settled/60-clevis-hook.sh
-rwxr-xr-x   1 root     root         2257 Feb 11 16:30 usr/libexec/clevis-luks-askpass

Risorse aggiuntive