Capítulo 23. Configuração do desbloqueio automático usando uma chave Tang no console web
Configurar o desbloqueio automático de um dispositivo de armazenamento criptografado LUKS usando uma chave fornecida por um servidor Tang.
Pré-requisitos
O console web RHEL 8 foi instalado.
Para detalhes, consulte Instalando o console web.
-
O pacote
cockpit-storagedestá instalado em seu sistema. -
O serviço
cockpit.socketestá funcionando no porto 9090. -
Os pacotes
clevis,tang, eclevis-dracutestão instalados. - Um servidor Tang está funcionando.
Procedimento
Abra o console web RHEL digitando o seguinte endereço em um navegador web:
https://localhost:9090Substitua a parte localhost pelo nome do host ou endereço IP do servidor remoto quando você se conectar a um sistema remoto.
- Forneça suas credenciais e clique em . Selecione um dispositivo criptografado e clique em na parte Content:
Clique em na seção Keys para adicionar uma chave Tang:
Forneça o endereço de seu servidor Tang e uma senha que destrave o dispositivo criptografado LUKS. Clique em para confirmar:
The following dialog window provides a command to verify that the key hash matches. RHEL 8.2 introduced the
tang-show-keysscript, and you can obtain the key hash using the following command on the Tang server running on the port 7500:# tang-show-keys 7500 3ZWS6-cDrCG61UPJS2BMmPU4I54No RHEL 8.1 e anteriores, obtenha o hash chave usando o seguinte comando:
# curl -s localhost:7500/adv | jose fmt -j- -g payload -y -o- | jose jwk use -i- -r -u verify -o- | jose jwk thp -i- 3ZWS6-cDrCG61UPJS2BMmPU4I54Clique em quando os hashes da chave no console web e na saída dos comandos listados anteriormente são os mesmos:
Para ativar o sistema de inicialização antecipada para processar a encadernação do disco, clique em na parte inferior da barra de navegação esquerda e digite os seguintes comandos:
# yum install clevis-dracut # dracut -fv --regenerate-all
Etapas de verificação
Verifique se a chave Tang recentemente adicionada está agora listada na seção Keys com o tipo
Keyserver:
Verificar se as amarrações estão disponíveis para a inicialização antecipada, por exemplo:
# lsinitrd | grep clevis clevis clevis-pin-sss clevis-pin-tang clevis-pin-tpm2 -rwxr-xr-x 1 root root 1600 Feb 11 16:30 usr/bin/clevis -rwxr-xr-x 1 root root 1654 Feb 11 16:30 usr/bin/clevis-decrypt ... -rwxr-xr-x 2 root root 45 Feb 11 16:30 usr/lib/dracut/hooks/initqueue/settled/60-clevis-hook.sh -rwxr-xr-x 1 root root 2257 Feb 11 16:30 usr/libexec/clevis-luks-askpass
Recursos adicionais
- Para mais detalhes sobre o desbloqueio automatizado de volumes criptografados LUKS usando Clevis e Tang, consulte o capítulo Configuração do desbloqueio automatizado de volumes criptografados usando decriptação baseada em políticas.
