Red Hat Training

A Red Hat training course is available for RHEL 8

11.6. 使用 Tang 为 NBDE 系统部署加密客户端

以下流程包含使用 Tang 网络服务器配置加密卷的自动解锁的步骤。

先决条件

  • 已安装 Clevis 框架。
  • Tang 服务器可用。

流程

  1. 要将 Clevis 加密客户端绑定到 Tang 服务器,请使用 clevis encrypt tang 子命令:

    $ clevis encrypt tang '{"url":"http://tang.srv:port"}' < input-plain.txt > secret.jwe
    The advertisement contains the following signing keys:
    
    _OsIk0T-E2l6qjfdDiwVmidoZjA
    
    Do you wish to trust these keys? [ynYN] y

    更改上例中的 http://tang.srv:port URL,使其与安装 tang 的服务器的 URL 匹配。secret.jwe 输出文件包含了您的加密密码文本,采用 JSON Web 加密格式。此密码文本是从 input-plain.txt 输入文件中读取的。

    另外,如果您的配置需要与 Tang 服务器进行非互动通信而无需 SSH 访问,您可以下载公告并将其保存到文件中:

    $ curl -sfg http://tang.srv:port/adv -o adv.jws

    adv.jws 文件中的广播用于任何以下任务,如加密文件或信息:

    $ echo 'hello' | clevis encrypt tang '{"url":"http://tang.srv:port","adv":"adv.jws"}'
  2. 要解密数据,请使用 clevis 解密命令并提供密码文本 (JWE):

    $ clevis decrypt < secret.jwe > output-plain.txt

其它资源

  • clevis-encrypt-tang(1)、 clevis-luks-unlockers(7)clevis(1) man page
  • clevisclevis 解密clevis 加密 tang 命令不带任何参数显示内置 CLI 帮助,例如:

    $ clevis encrypt tang
    Usage: clevis encrypt tang CONFIG < PLAINTEXT > JWE
    ...