Αυτόματο Ξεκλείδωμα LUKS Δίσκου με TPM2 και Clevis

Άρθρα και οδηγοί
, , , ,
1

Έχετε επαγγελματικό laptop και θέλετε ο δίσκος να είναι ασφαλής, αλλά χωρίς να πληκτρολογείτε κάθε φορά τον κωδικό αποκρυπτογράφισης του δίσκου;
Διαχειρίζεστε server με LUKS κρυπτογράφηση για NIST, PCI DSS ή ISO 27001 compliance, αλλά θέλετε να ξεκινάει αυτόματα;

Σε αυτό το άρθρο θα δούμε πώς μπορούμε να ρυθμίσουμε το σύστημά μας ώστε να ξεκλειδώνει αυτόματα έναν δίσκο που προστατεύεται με LUKS, χρησιμοποιώντας το TPM2 chip του υπολογιστή και το εργαλείο Clevis. Συνεπώς, ο οδηγός αυτός είναι tested σε Red Hat Enterprise Linux, Fedora, AlmaLinux, Rocky κτλπ.

Στόχος

Στόχος με αυτή την μέθοδο είναι να μπορούμε να έχουμε TPM2 στο σύστημα μας και την ίδια ώρα να χρησιμοποιούμε όποτε επιθυμούμε και κωδικό αποκρυπτογράφισης, έτσι ώστε αν καεί το laptop/server μας να μπορούμε να αποκρυπτογραφήσουμε τα αρχεία μας.

Προυποθέσεις:

  • Έχουμε ήδη εγκαταστήσει τη διανομή GNU/Linux σε κρυπτογραφημένο LUKS root (ή άλλο partition)
  • Υπάρχει TPM2 chip και αναγνωρίζεται από το σύστημα
  • Έχουμε δικαιώματα root

Αρχικά, Eλέγχουμε ότι βλέπουμε το TPM:

sudo tpm2_getcap properties-fixed | grep TPM2_PT_FAMILY_INDICATOR

Εγκαθιστούμε τα απαραίτητα εργαλεία:

sudo dnf install clevis clevis-luks clevis-dracut tpm2-tools

Βρίσκουμε το αναγνωριστικό της LUKS συσκευής:

lsblk -f

Στην περίπτωση μου ήταν /dev/nvme0n1p3 οπότε δίνω:

sudo clevis luks bind -d /dev/nvme0n1p3 tpm2 '{"hash":"sha256","key":"rsa"}'

Θα μας ζητηθεί ο υφιστάμενος LUKS κωδικός για να προστεθεί ένα νέο κλειδί.

Αναδημιουργία του initramfs

sudo dracut -fv --regenerate-all

Επανεκκίνηση και είμαστε έτοιμοι :slight_smile:

Σε κάθε επανεκκίνηση θα βλέπετε να ζητάει κωδικό luks. Περιμένετε υπομονετικά για 15-30δευτερόλεπτα και θα δείτε ξαφνικά ο κωδικός να προστίθεται μόνος του ;).

Και τι είναι το Clevis?

Το Clevis είναι ένα εργαλείο που επιτρέπει το αυτόματο ξεκλείδωμα LUKS δίσκων, χρησιμοποιώντας διάφορες τεχνολογίες, όπως το TPM2, χωρίς να χρειάζεται να εισάγουμε χειροκίνητα κωδικό. Ορίζει πολιτικές αποκρυπτογράφησης που αποθηκεύονται στον ίδιο τον δίσκο. Το initramfs είναι ένα προσωρινό σύστημα αρχείων που φορτώνεται κατά την εκκίνηση, πριν το κανονικό σύστημα. Περιέχει όλα τα απαραίτητα εργαλεία (όπως το Clevis) ώστε να μπορέσει το σύστημα να ξεκλειδώσει τον LUKS δίσκο πριν ξεκινήσει το λειτουργικό. Μαζί, επιτρέπουν ασφαλές και αυτόματο boot χωρίς αλληλεπίδραση του χρήστη.

3 «Μου αρέσει»
Κάντε Auto-mount κρυπτογραφημένες συσκευές κατά την εκκίνηση του συστήματος χωρίς αλλαγές στο /etc/fstab