当只有 TPM 解锁可用时,LUKS 添加新密码或密钥

当只有 TPM 解锁可用时,LUKS 添加新密码或密钥

在使用任何 crypt 工具(如 systemd-cryptenroll 和 cryptsetup)时,没有密码似乎是一个很大的痛苦!

我有一个受 pkcs11-uri=auto (智能卡)和 tpm2-device=auto (TPM 芯片)保护的卷,它们都可以工作,我可以随时使用 /usr/lib/systemd/systemd-cryptsetup 映射该卷附加但是,当我需要添加恢复密钥时,例如

  • cryptsetup luksAddKey
  • systemd-cryptenroll --recovery-key

它会要求输入密码或密钥文件。

由于我没有得到这些,所以我无法对音量做任何事情。为了纠正这种情况,我可以将数据复制到另一个卷,但数据非常大,一般来说这对我来说不是一个好的情况

如果你问我是如何做到的,我的方法如下:) systemd-cryptenroll --wipe-slot=password $device

它没有要求输入密码!

我使用的是 Fedora 35 工作站、LUKS2、systemd v249

相关内容