Red Hat Training

A Red Hat training course is available for RHEL 8

9.15. Introdução às funções do sistema Clevis e Tang

As funções do sistema RHEL são uma coleção de funções e módulos possíveis que fornecem uma interface de configuração consistente para gerenciar remotamente vários sistemas RHEL.

A RHEL 8.3 introduziu funções possíveis para implantações automatizadas de soluções de decriptação baseada em políticas (PBD) usando Clevis e Tang. O pacote rhel-system-roles contém estas funções do sistema, os exemplos relacionados, e também a documentação de referência.

A função do sistema nbde_client permite que você implante vários clientes Clevis de forma automatizada. Note que a função nbde_client suporta apenas as ligações Tang, e você não pode utilizá-la para ligações TPM2 no momento.

A função nbde_client requer volumes que já estão criptografados usando LUKS. Esta função suporta ligar um volume criptografado pelo LUKS a um ou mais servidores Network-Bound (NBDE) - servidores Tang. Você pode preservar a criptografia de volume existente com uma frase-senha ou removê-la. Após remover a frase-senha, você pode desbloquear o volume somente usando NBDE. Isto é útil quando um volume é inicialmente criptografado usando uma chave temporária ou senha que você deve remover após o sistema que você fornece o sistema.

Se você fornecer tanto uma senha como um arquivo chave, a função usa primeiro o que você forneceu. Se não encontrar nenhuma delas válida, tenta recuperar uma frase-chave a partir de uma ligação existente.

PBD define uma ligação como um mapeamento de um dispositivo para um slot. Isto significa que você pode ter várias encadernações para o mesmo dispositivo. O slot padrão é o slot 1.

A função nbde_client fornece também a variável state. Use o valor present para criar uma nova ligação ou atualizar uma já existente. Ao contrário de um comando clevis luks bind, você pode usar state: present também para sobrescrever uma encadernação existente em seu slot de dispositivo. O valor absent remove uma encadernação especificada.

Usando a função nbde_server, você pode implantar e gerenciar um servidor Tang como parte de uma solução automatizada de criptografia de disco. Esta função suporta as seguintes características:

  • Chaves Tang rotativas
  • Implantação e backup de chaves Tang

Recursos adicionais

  • Para uma referência detalhada sobre as variáveis de funções de Criptografia de Disco Ligado à Rede (NBDE), instale o pacote rhel-system-roles e consulte os arquivos README.md e README.html nos diretórios /usr/share/doc/rhel-system-roles/nbde_client/ e /usr/share/doc/rhel-system-roles/nbde_server/.
  • Por exemplo, livros-rolos do sistema, instalar o pacote rhel-system-roles, e ver os diretórios /usr/share/ansible/roles/rhel-system-roles.nbde_server/examples/.
  • Para mais informações sobre os papéis do Sistema RHEL, veja Introdução aos papéis do Sistema RHEL