我想要的是

tag-icon tag-icon kali-linux luks initramfs disk-encryption tpm
我想要的是

我不知道如何让 U 形夹在启动时自动解密我的根分区。

我想要的是

我想在我的 kali PC 上使用 TPM2 芯片来拥有一个在启动时自解密的加密磁盘。主要目的是防止驱动器/计算机被盗时数据泄露。

我做了什么

cryptsetup-reencrypt 我首先使用我编辑的 grub 配置、fstab 和 crypttab、runupdate-grubupdate-initramfs.txt从可启动驱动器在 luks1 中加密我的 / 分区 (/dev/sda2) 。

这允许我在加密的根分区上启动,并要求我输入 luks 密码两次

然后我使用以下命令安装了 clevis 并将 luks 绑定到 TPM:sudo clevis luks bind -d /dev/sda2 tpm2 '{"pcr_bank":"sha256","pcr_ids":"7"}'

我可以看到它在 luks 头上使用了一个新的键槽。我激活了服务“clevis-luks-askpass.path”,再次更新了 grub 和 initramfs。

但重新启动后,系统仍然提示我输入密码。我尝试等待几分钟,但没有任何反应。

我错过了什么吗?

我拥有的

分区:我将所有内容都放在同一个分区中(包括/boot)。唯一的其他分区是 efi

文件系统

$ lsblk -fs     
                    
NAME    FSTYPE      FSVER LABEL UUID                                 FSAVAIL FSUSE% MOUNTPOINTS
sda1    vfat        FAT32       08C3-0099                             510,8M     0% /boot/efi
└─sda                                                                               
root    ext4        1.0         55d30c15-a2a5-4721-b679-0e8746c54768  183,6G    16% /
└─sda2  crypto_LUKS 1           49e3950a-b1a9-449e-aeec-757bba148a84                
  └─sda

蛴螬

$ cat /etc/default/grub

GRUB_DEFAULT=0
GRUB_TIMEOUT=5
GRUB_DISTRIBUTOR=`lsb_release -i -s 2> /dev/null || echo Debian`
GRUB_CMDLINE_LINUX_DEFAULT=""
GRUB_CMDLINE_LINUX=""
GRUB_ENABLE_CRYPTODISK=y
GRUB_PRELOAD_MODULES="luks cryptodisk"

稳定表

$ cat /etc/fstab

# /boot/efi was on /dev/sda1 during installation
UUID=08C3-0099  /boot/efi       vfat    umask=0077      0       1
# swap was on /dev/sda3 during installation
/swapfile       none            swap    sw              0       0

# new root
UUID=49e3950a-b1a9-449e-aeec-757bba148a84 / ext4 errors=remount-ro 0 1

加密表

$ cat /etc/crypttab
# <target name> <source device>         <key file>      <options>
root UUID=49e3950a-b1a9-449e-aeec-757bba148a84 none luks

U形夹套件

$ apt list --installed | grep clevis

clevis-initramfs/kali-rolling,now 18-2+b1 amd64  [installed]
clevis-luks/kali-rolling,now 18-2+b1 amd64  [installed]
clevis-systemd/kali-rolling,now 18-2+b1 amd64  [installed]
clevis-tpm2/kali-rolling,now 18-2+b1 amd64  [installed]
clevis/kali-rolling,now 18-2+b1 amd64  [installed]

U 形夹-luks-askpass.path

$ sudo systemctl status clevis-luks-askpass.path

● clevis-luks-askpass.path - Forward Password Requests to Clevis Directory Watch
     Loaded: loaded (/lib/systemd/system/clevis-luks-askpass.path; enabled; vendor preset: enabled)
     Active: active (waiting) since Wed 2022-07-06 14:10:04 CEST; 1h 16min ago
      Until: Wed 2022-07-06 14:10:04 CEST; 1h 16min ago
   Triggers: ● clevis-luks-askpass.service
       Docs: man:clevis-luks-unlockers(7)

Notice: journal has been rotated since unit was started, output may be incomplete.

LSB_释放

$ lsb_release -a

No LSB modules are available.
Distributor ID: Kali
Description:    Kali GNU/Linux Rolling
Release:    2022.2
Codename:   kali-rolling

相关内容