24장. 웹 콘솔에서 Tang 키를 사용하여 자동 잠금 해제 구성
Tang 서버에서 제공하는 키를 사용하여 LUKS 암호화 스토리지 장치의 자동 잠금 해제를 구성할 수 있습니다.
사전 요구 사항
- RHEL 8 웹 콘솔이 설치되었습니다. 자세한 내용은 웹 콘솔 설치를 참조하십시오.
-
cockpit-storaged
및clevis-luks
패키지가 시스템에 설치됩니다. -
cockpit.socket
서비스는 포트 9090에서 실행되고 있습니다. - Tang 서버를 사용할 수 있습니다. 자세한 내용은 강제 모드에서 SELinux를 사용하여 Tang 서버 배포를 참조하십시오.
절차
웹 브라우저에서 다음 주소를 입력하여 RHEL 웹 콘솔을 엽니다.
https://<localhost>:9090
원격 시스템에 연결할 때 < localhost > 부분을 원격 서버의 호스트 이름 또는 IP 주소로 바꿉니다.
-
자격 증명을 제공하고 스토리지 를 클릭합니다.
Filesystems
섹션에서 잠금 해제를 위해 추가할 암호화된 볼륨이 포함된 디스크를 클릭합니다. - 선택한 디스크의 파티션 및 드라이브 세부 정보를 나열하는 다음 창에서 암호화된 파일 시스템 옆에 있는 >을 클릭하여 Tang 서버를 사용하여 잠금 해제하려는 암호화된 볼륨의 세부 정보를 확장하고 암호화를 클릭합니다.
Keys 섹션에서 + 를 클릭하여 Tang 키를 추가합니다.
Tang 키 서버
를키 소스로
선택하고 Tang 서버의 주소 및 LUKS 암호화 장치를 잠금 해제하는 암호를 제공합니다. 추가를 클릭하여 확인합니다.다음 대화 상자 창에서 키 해시와 일치하는지 확인하는 명령을 제공합니다.
Tang 서버의 터미널에서
tang-show-keys
명령을 사용하여 비교를 위해 키 해시를 표시합니다. 이 예에서 Tang 서버는 포트 7500 에서 실행 중입니다.# tang-show-keys 7500 fM-EwYeiTxS66X3s1UAywsGKGnxnpll8ig0KOQmr9CM
웹 콘솔 의 키 해시와 이전에 나열된 명령의 출력에 동일한 경우 신뢰 키를 클릭합니다.
-
RHEL 8.8 이상에서는 암호화된 루트 파일 시스템 및 Tang 서버를 선택한 후 커널 명령줄에
rd.neednet=1
매개변수 추가를 건너뛰고clevis-dracut
패키지를 설치하고 초기 RAM 디스크(Initrd )를 다시 생성할 수 있습니다.루트가 아닌 파일 시스템의 경우 웹 콘솔에서
remote-cryptsetup.target
및clevis-luks-akspass.path
systemd
장치를 활성화하고clevis-systemd
패키지를 설치하고_netdev
매개 변수를fstab
및crypttab
구성 파일에 추가합니다.
검증
새로 추가된 Tang 키가 키 서버
유형의
Keys 섹션에 나열되어 있는지 확인합니다.바인딩이 초기 부팅에 사용 가능한지 확인합니다. 예를 들면 다음과 같습니다.
# lsinitrd | grep clevis clevis clevis-pin-null clevis-pin-sss clevis-pin-tang clevis-pin-tpm2 lrwxrwxrwx 1 root root 48 Feb 14 17:45 etc/systemd/system/cryptsetup.target.wants/clevis-luks-askpass.path… …