Red Hat Training

A Red Hat training course is available for RHEL 8

15.15.10. Configuração da inscrição automatizada de volumes codificados com LUKS usando Kickstart

Siga as etapas deste procedimento para configurar um processo de instalação automatizado que utiliza Clevis para a inscrição de volumes criptografados LUKS.

Procedimento

  1. Instrua o Kickstart a particionar o disco de forma que a criptografia LUKS tenha habilitado para todos os pontos de montagem, exceto /boot, com uma senha temporária. A senha é temporária para esta etapa do processo de inscrição.

    part /boot --fstype="xfs" --ondisk=vda --size=256
    part / --fstype="xfs" --ondisk=vda --grow --encrypted --passphrase=temppass

    Observe que os sistemas de reclamação OSPP requerem uma configuração mais complexa, por exemplo:

    part /boot --fstype="xfs" --ondisk=vda --size=256
    part / --fstype="xfs" --ondisk=vda --size=2048 --encrypted --passphrase=temppass
    part /var --fstype="xfs" --ondisk=vda --size=1024 --encrypted --passphrase=temppass
    part /tmp --fstype="xfs" --ondisk=vda --size=1024 --encrypted --passphrase=temppass
    part /home --fstype="xfs" --ondisk=vda --size=2048 --grow --encrypted --passphrase=temppass
    part /var/log --fstype="xfs" --ondisk=vda --size=1024 --encrypted --passphrase=temppass
    part /var/log/audit --fstype="xfs" --ondisk=vda --size=1024 --encrypted --passphrase=temppass
  2. Instale os pacotes Clevis relacionados, listando-os na seção %packages:

    %packages
    clevis-dracut
    %end
  3. Ligue para clevis luks bind para realizar a encadernação na seção %post. Em seguida, remova a senha temporária:

    %post
    curl -sfg http://tang.srv/adv -o adv.jws
    clevis luks bind -f -k- -d /dev/vda2 \
    tang '{"url":"http://tang.srv","adv":"adv.jws"}' \ <<< "temppass"
    cryptsetup luksRemoveKey /dev/vda2 <<< "temppass"
    %end

    No exemplo anterior, observe que baixamos o anúncio do servidor Tang como parte de nossa configuração de encadernação, permitindo que a encadernação seja completamente não-interativa.

    Atenção

    O comando cryptsetup luksRemoveKey impede qualquer administração posterior de um dispositivo LUKS2 no qual você o aplica. Você pode recuperar uma chave mestra removida usando o comando dmsetup somente para dispositivos LUKS1.

Você pode usar um procedimento análogo ao usar uma política TPM 2.0 ao invés de um servidor Tang.

Recursos adicionais