暗号化デバイス上でのTangキー実装の確認

次のステップに従って、ホストの暗号化されたパーティションまたはボリュームに適用されるTang Key構成が正常に実装されたことを確認します。

前提条件

ステップ

  1. Cockpit Webコンソールの「ストレージ」ページで、「ドライブ」表からドライブを選択します。
  2. ストレージ[モデル名]ページで、「パーティション」表に移動します。
  3. 「パーティション」表で、暗号化されたパーティションまたはボリュームが含まれている行を見つけて、下矢印アイコンをクリックして表の情報を展開します。
    「暗号化」タブが表示されます。
  4. 「暗号化」タブをクリックして、「キー」セクションに移動します。
  5. 「キー」セクションで、Tangサーバーのプロパティが「キー」リストに表示されることを確認します。次に例を示します:
    Keys
    Passphrase                               Slot 0
    Keyserver: tangserver.example.com:7500   Slot 1
  6. 次のステップを実行して、バインディングが早期の起動に使用できることを確認します:
    1. Cockpit Webコンソールで「端末」をクリックして、端末ウィンドウにアクセスします。
    2. lsinitrdコマンドを使用して、ホストのClevisバインディングが早期の起動に使用できることを確認します。次に例を示します:
      sudo lsinitrd | grep clevis

      次のような出力が表示されます。

      clevis
      clevis-pin-sss
      clevis-pin-tang
      clevis-pin-tpm2
      -rwxr-xr-x   1 root  root   1600 May 3 16:30 usr/bin/clevis
      -rwxr-xr-x   1 root  root   1654 May 3 16:30 usr/bin/clevis-decrypt
      ...
      -rwxr-xr-x   2 root  root     45 May 3 16:30 usr/lib/dracut/hooks/initqueue/settled/60-clevis-hook.sh
      -rwxr-xr-x   1 root  root   2257 May 3 16:30 usr/libexec/clevis-luks-askpass