1. Cockpit Webコンソールの使用
  2. ストレージ管理タスク
  3. Tangサーバー・キーを使用した暗号化されたデバイスのロック解除
  4. 暗号化されたデバイスのTangキーの作成

暗号化されたデバイスのTangキーの作成

ネットワーク・バインド・ディスク暗号化(NBDE)環境をサポートするホスト・システムの場合、Cockpit管理者は「ストレージ」ページを使用して、Tangサーバーのキー・アドレスパスフレーズを構成できます。

前提条件

  • Cockpit Webコンソールがインストールされていて、アクセスできる必要があります。

    詳細は、トピック「Cockpitのインストールおよび有効化」と「Cockpit Webコンソールへのログイン」を参照してください。

  • cockpit-storagedパッケージがインストールされている必要があります。

    ノート:

    cockpit-storagedパッケージがインストールされていない場合は、「アドオン・アプリケーションのインストールと管理」の項を参照してください
  • Tangサーバー・キーを追加するための構成要件は次のとおりです:
    • ホスト・システムのLUKS暗号化パーティションまたはボリューム。
    • ホスト・ネットワークのTangサーバー構成。
    • 復号化クライアント・ソフトウェア(Clevis)がインストールされているホスト。

    ノート:

    LUKSは、データ復号化のために複数のキーを異なるスロットに格納する機能を提供します。システム管理者は、ディスクまたはボリュームをNBDE Tangサーバー・キーと一緒にロックするプライマリ・パスフレーズを維持管理できます。LUKS暗号化を使用するホスト・システムでは、暗号化されたディスク・パーティションに格納されているデータにアクセスするために、ユーザーはパスフレーズの入力を求められます。LUKSを使用するNBDE環境のホスト・システムでは、暗号化されたパーティションまたはボリュームに格納されているデータにアクセスするために、ユーザーの入力は求められません。LUKSのパスフレーズ・プロンプトは、Tangキーが復号化されて、ユーザーにデータへのアクセス権が付与されると自動的に閉じられます。

    ネットワーク・バインド・ディスク暗号化の設定方法の詳細は、『Oracle Linux: ネットワーク・バインド・ディスク暗号化の有効化』を参照してください。 Cockpit Webコンソールを使用したLUKS暗号化の構成の詳細は、「LUKSによるブロック・デバイスの暗号化」を参照してください。

  • アンマウントされたLUKS1フォーマット済のファイル・システム。

    重要:

    LUKS2フォーマットを使用すると、暗号化されたデバイスの使用中にデバイスを再暗号化(暗号化キーまたはアルゴリズムの変更)できます。LUKS1フォーマットでは、オンライン再暗号化はできません。この場合、LUKS1フォーマットで暗号化されたデバイスは、暗号化プロパティの変更を適用するためにファイル・システムのアンマウントが必要になることがあります。
  • 管理者権限。

ステップ

Cockpit Webコンソールを使用して、既存の暗号化されたパーティションまたはボリューム構成にTangキーのプロパティを追加するには、次のステップを実行します。

  1. 「ストレージ」ページで、「ドライブ」表からドライブを選択します。
  2. ストレージ[モデル名]ページで、「パーティション」表に移動します。
  3. 「パーティション」表で、暗号化されたパーティションまたはボリュームが含まれている行を見つけて、下矢印アイコンをクリックして表の情報を展開します。
    「暗号化」タブが表示されます。
  4. 「暗号化」タブをクリックして、「キー」セクションに移動します。
  5. 「キー」セクションで、プラス[+]アイコンをクリックしてTangキーを追加します。
    「キーの追加」ダイアログが表示されます。
  6. 「キーの追加」ダイアログで、次の情報を指定して、「追加」をクリックします。

    重要:

    LUKS暗号化の複数のパスフレーズ・キーの構成の詳細は、「LUKS暗号化のパスフレーズ・キーの変更」を参照してください。
    キーのソース Tangキーサーバー・ラジオ・ボタンを選択します。
    キーサーバーのアドレス

    キーサーバーのアドレス・テキスト・ボックスで、Tangサーバーの完全修飾ドメイン名(FQDN)またはIPアドレスと、そのサーバーが使用するポート番号を指定します(例: tangserver.example.com:7500)。

    ノート:

    デフォルトでは、Tangサーバーはポート80を使用します。ただし、別のポート番号を使用するようにサーバーを構成できます。 詳細は、「Oracle Linux: Oracle Linuxネットワーク・バインド・ディスク暗号化の有効化」を参照してください
    ディスク・パスフレーズ ディスク・パスフレーズ・テキスト・ボックスで、まだLUKSパスフレーズを入力していない場合は、暗号化されたデバイスの現在のLUKSパスフレーズを指定します。
    「キーの確認」ダイアログが表示され、ハッシュ・キーを検証するための指示とともに生成されたキー・ハッシュが示されます。
  7. ハッシュ・キーを検証するステップは次のとおりです:
    1. 「端末」をクリックします。ホスト端末ウィンドウが表示されます。
    2. 次のコマンドを入力して、Tangサーバーが提供するキー・ハッシュを取得します。
      sudo curl -s tangserver.example.com:7500/adv | jose fmt -j- -g payload -y -o- | jose jwk use -i- -r -u verify -o- | jose jwk thp -i-

      生成されたキー・ハッシュが「キーの確認」ウィンドウに表示されたキーと一致していることを確認します。

  8. 「キーの確認」ダイアログで、キーの信頼をクリックします。
  9. Cockpit Webコンソールから「端末」ウィンドウにアクセスして、早期ブート復号化を有効にします。
    sudo dracut -fv --regenerate-all
  10. Tangサーバー・キーの構成が成功したことを確認します。「暗号化デバイス上でのTangキー実装の確認」を参照してください。