Red Hat Training

A Red Hat training course is available for Red Hat Enterprise Linux

4.10.6. ルートボリュームの手動登録の設定

LUKS で暗号化した既存の root ボリュームを自動的にアンロックするには、clevis-luks サブパッケージをインストールし、clevis luks bind コマンドを使用してそのボリュームを Tang サーバーにバインドします。
~]# yum install clevis-luks
~]# clevis luks bind -d /dev/sda tang '{"url":"http://tang.srv"}'
The advertisement contains the following signing keys:

_OsIk0T-E2l6qjfdDiwVmidoZjA

Do you wish to trust these keys? [ynYN] y
You are about to initialize a LUKS device for metadata storage.
Attempting to initialize it may result in data loss if data was
already written into the LUKS header gap in a different format.
A backup is advised before initialization is performed.

Do you wish to initialize /dev/sda? [yn] y
Enter existing LUKS password:
このコマンドは、以下の 4 つの手順を実行します。
  1. LUKS マスター鍵と同じエントロピーを使用して、新しい鍵を作成します。
  2. Clevis で新しい鍵を暗号化します。
  3. LUKSMeta を使用する LUKS ヘッダーに Clevis JWE オブジェクトを保存します。
  4. LUKS を使用する新しい鍵を有効にします。
このディスクは、現在、既存のパスワードと Clevis ポリシーを使用してロックを解除できます。詳細は、man ページの clevis-luks-bind(1) を参照してください。
注記
バインド手順では、空き LUKS パスワードスロットが少なくとも 1 つあることが前提となっています。clevis luks bind コマンドは、スロットのいずれかを取得します。
Clevis JWE オブジェクトが LUKS ヘッダーに適切に置かれていることを確認するには、luksmeta show コマンドを使用します。
~]# luksmeta show -d /dev/sda
0   active empty
1   active cb6e8904-81ff-40da-a84a-07ab9ab5715e
2 inactive empty
3 inactive empty
4 inactive empty
5 inactive empty
6 inactive empty
7 inactive empty
システムの起動プロセスの初期段階でディスクバインディングを処理するようにするには、インストール済みのシステムで次のコマンドを実行します。
~]# yum install clevis-dracut
~]# dracut -f --regenerate-all
重要
(DHCP を使用しない) 静的な IP 設定を持つクライアントに NBDE を使用するには、以下のように、手動でネットワーク設定を dracut ツールに渡します。
~]# dracut -f --regenerate-all --kernel-cmdline "ip=192.0.2.10 netmask=255.255.255.0 gateway=192.0.2.1 nameserver=192.0.2.45"
または、静的ネットワーク情報を使用して /etc/dracut.conf.d/ ディレクトリーに .conf ファイルを作成します。以下に例を示します。
~]# cat /etc/dracut.conf.d/static_ip.conf
kernel_cmdline="ip=10.0.0.103 netmask=255.255.252.0 gateway=10.0.0.1 nameserver=10.0.0.1"
初期 RAM ディスクイメージを再生成します。
~]# dracut -f --regenerate-all
詳細は、man ページの dracut.cmdline(7) を参照してください。

このページには機械翻訳が使用されている場合があります (詳細はこちら)。