Capitolo 23. Configurare lo sblocco automatico usando una chiave Tang nella console web
Configura lo sblocco automatico di un dispositivo di archiviazione criptato LUKS usando una chiave fornita da un server Tang.
Prerequisiti
La console web di RHEL 8 è stata installata.
Per dettagli, veda Installare la console web.
-
Il pacchetto
cockpit-storaged
è installato sul suo sistema. -
Il servizio
cockpit.socket
è in esecuzione sulla porta 9090. -
I pacchetti
clevis
,tang
eclevis-dracut
sono installati. - È in funzione un server Tang.
Procedura
Apra la console web di RHEL inserendo il seguente indirizzo in un browser web:
https://localhost:9090
Sostituisca la parte localhost con il nome host o l'indirizzo IP del server remoto quando si collega a un sistema remoto.
- Fornisca le sue credenziali e clicchi su Storage. Selezioni un dispositivo criptato e clicchi Encryption nella parte Content:
Clicchi nella sezione Keys per aggiungere una chiave Tang:
Fornisca l'indirizzo del suo server Tang e una password che sblocchi il dispositivo criptato LUKS. Clicchi su Aggiungi per confermare:
La seguente finestra di dialogo fornisce un comando per verificare che l'hash della chiave corrisponda. RHEL 8.2 ha introdotto lo script
tang-show-keys
e può ottenere l'hash della chiave usando il seguente comando sul server Tang in esecuzione sulla porta 7500:# tang-show-keys 7500 3ZWS6-cDrCG61UPJS2BMmPU4I54
Su RHEL 8.1 e precedenti, ottenga l'hash della chiave usando il seguente comando:
# curl -s localhost:7500/adv | jose fmt -j- -g payload -y -o- | jose jwk use -i- -r -u verify -o- | jose jwk thp -i- 3ZWS6-cDrCG61UPJS2BMmPU4I54
Clicchi su Trust key quando gli hash della chiave nella console web e nell'output dei comandi elencati in precedenza sono uguali:
Per permettere al sistema di avvio anticipato di elaborare il binding del disco, clicchi su Terminale in fondo alla barra di navigazione sinistra e inserisca i seguenti comandi:
# yum install clevis-dracut # dracut -fv --regenerate-all
Fasi di verifica
Controlli che la nuova chiave Tang aggiunta sia ora elencata nella sezione Keys con il tipo
Keyserver
:Verifichi che i binding siano disponibili per l'avvio anticipato, per esempio:
# lsinitrd | grep clevis clevis clevis-pin-sss clevis-pin-tang clevis-pin-tpm2 -rwxr-xr-x 1 root root 1600 Feb 11 16:30 usr/bin/clevis -rwxr-xr-x 1 root root 1654 Feb 11 16:30 usr/bin/clevis-decrypt ... -rwxr-xr-x 2 root root 45 Feb 11 16:30 usr/lib/dracut/hooks/initqueue/settled/60-clevis-hook.sh -rwxr-xr-x 1 root root 2257 Feb 11 16:30 usr/libexec/clevis-luks-askpass
Risorse aggiuntive
- Per maggiori dettagli sullo sblocco automatico di volumi criptati LUKS usando Clevis e Tang, veda il capitolo Configurare lo sblocco automatico di volumi criptati usando la decriptazione basata su criteri.