第24章 Web コンソールで Tang 鍵を使用した自動アンロックの設定
Tang サーバーが提供する鍵を使用して、LUKS で暗号化したストレージデバイスの自動ロック解除を設定できます。
前提条件
- RHEL 8 Web コンソールがインストールされている。詳細は、Web コンソールのインストール を参照してください。
-
cockpit-storaged
とclevis-luks
パッケージがシステムにインストールされている。 -
cockpit.socket
サービスがポート 9090 で実行されている。 - Tang サーバーを利用できる。詳細は、Deploying a Tang server with SELinux in enforcing mode 参照してください。
手順
Web ブラウザーに以下のアドレスを入力して、RHEL Web コンソールを開きます。
https://<localhost>:9090
リモートシステムに接続する際に、<localhost> の部分をリモートサーバーのホスト名または IP アドレスに置き換えます。
-
認証情報を指定して、ストレージ をクリックします。
Filesystems
セクションで、自動的にロックを解除するために追加する予定の暗号化ボリュームが含まれるディスクをクリックします。 - 選択したディスクのパーティションとドライブの詳細をリストする次のウィンドウで、暗号化されたファイルシステムの横にある > をクリックして、Tang サーバーを使用してロックを解除する暗号化ボリュームの詳細を展開し、Encryption をクリックします。
Keys セクションの + をクリックして Tang キーを追加します。
Key source
としてTang keyserver
を選択し、Tang サーバーのアドレスと、LUKS で暗号化されたデバイスのロックを解除するパスワードを入力します。Add をクリックして確定します。以下のダイアログウインドウは、鍵ハッシュが一致することを確認するコマンドを提供します。
Tang サーバーのターミナルで、
tang-show-keys
コマンドを使用して、比較のためにキーハッシュを表示します。この例では、Tang サーバーはポート 7500 で実行されています。# tang-show-keys 7500 fM-EwYeiTxS66X3s1UAywsGKGnxnpll8ig0KOQmr9CM
Web コンソールと前述のコマンドの出力のキーハッシュが同じ場合は、Trust key をクリックします。
-
RHEL 8.8 以降では、暗号化されたルートファイルシステムと Tang サーバーを選択した後、カーネルコマンドラインへの
rd.neednet=1
パラメーターの追加、clevis-dracut
パッケージのインストール、および初期 RAM ディスク (initrd
) の再生成をスキップできます。非ルートファイルシステムの場合、Web コンソールは、remote-cryptsetup.target
およびclevis-luks-akspass.path
systemd
ユニットを有効にし、clevis-systemd
パッケージをインストールし、_netdev
パラメーターをfstab
およびcrypttab
設定ファイルに追加するようになりました。
検証
新規に追加された Tang キーが
Keyserver
タイプの Keys セクションにリスト表示されていることを確認します。バインディングが初期ブートで使用できることを確認します。次に例を示します。
# lsinitrd | grep clevis clevis clevis-pin-null clevis-pin-sss clevis-pin-tang clevis-pin-tpm2 lrwxrwxrwx 1 root root 48 Feb 14 17:45 etc/systemd/system/cryptsetup.target.wants/clevis-luks-askpass.path… …