Эскроу-файлы шифрования диска на centos через кикстарт

Question

Эскроу-файлы шифрования диска на centos через кикстарт

Я пытаюсь автоматизировать установку Centos через PXE и запустить его с зашифрованными файловыми системами. В случае, когда мы пропускаем фразу-пароль, мы хотим использовать файлы условного депонирования и шифровать их, используя открытый ключ, прикрепленный к сертификату x509, полученному с веб-сервера. Соответствующая строка в файле кикстарта

logvol /home --fstype ext4 --name=lv02 --vgname=vg01 --size=1 --grow --encrypted --escrowcert=http://10.0.2.2:8080/escrow.crt --passphrase=XXXX --backuppassphrase

Оставить сертификат как PEM, закодированный на веб-сервере, а не DER, кажется, не имеет значения, либо работать до определенного момента.

Файловая система создается и шифруется с использованием прилагаемой парольной фразы и может быть открыта при перезагрузке без проблем. Два файла условного депонирования создаются, как ожидается, и если с помощью базы данных NSS, содержащей закрытый ключ и первый файл условного депонирования, я получаю, как мне кажется, парольную фразу, но она не разблокирует диск. Например:

# volume_key --secrets -d /tmp/nss e04a93fc-555b-430b-a962-1cdf921e320f-escrow
    Data encryption key:<span class="whitespace other" title="Tab">»</span>817E65AC37C1EC802E3663322BFE818D47BDD477678482E78986C25731B343C221CC1D2505EA8D76FBB50C5C5E98B28CAD440349DC0842407B46B8F116E50B34

Я предполагаю, что строка от 817 до B34 является парольной фразой, но использование ее в команде cryptsetup не работает.

[root@mypxetest ~]# cryptsetup -v status home
/dev/mapper/home is inactive.
Command failed with code 19.

[root@mypxetest ~]# cryptsetup luksOpen /dev/rootvg01/lv02 home
Enter passphrase for /dev/rootvg01/lv02: 
No key available with this passphrase.
Enter passphrase for /dev/rootvg01/lv02:

При появлении запроса я вставляю длинную числовую строку, но получаю сообщение Нет ключа доступно. Однако, если я использую парольную фразу, указанную в файле кикстарта, или в резервном файле условного депонирования, диск разблокируется.

# volume_key --secrets -d /tmp/nss e04a93fc-555b-430b-a962-1cdf921e320f-escrow-backup-passphrase 
Passphrase:<span class="whitespace other" title="Tab">»</span>QII.q-ImgpN-0oy0Y-RC5qa

Затем с помощью строки QII.q-ImgpN-0oy0Y-RC5qa в команде crypsetup работает.

Кто-нибудь знает, что мне не хватает? Почему оба файла не работают?

-1

encryption redhat luks

Источник

user8688542 27 июн '18 в 16:42

1 ответ

Другие вопросы по тегам encryption redhat luks

user8688542 13 июл '18 в 09:25 2018-07-13 09:25 · Answer 1 · 2018-07-13 09:25

Я еще кое-что прочитал, и файл, заканчивающийся на escrow, не является альтернативной парольной фразой для тома luks, но он содержит ключ шифрования, который зашифрован, конечно. При расшифровке длинная строка является ключом шифрования, а в остальной части текста есть подсказка, которую, признаюсь, я не очень хорошо прочитал.