私よりLUKS LVMの経験がある人は、この状況で使用する必要がある正しいデバイス名が何であるかを教えてください。
そして使用に関するいくつかの指示に従ってくださいclevis。tang使い方はとても簡単でしたが、tangサーバーをインストールするとすぐにclevisその部分に問題が生じました。
> clevis bind luks -d /dev/mapper/luks-cee2a805-188f-44b6-b577-879243c0eb6c tang {"url":"http://official.server.company.com"}デバイス /dev/mapper/luks-cee2a805-188f-44b6-b577-879243c0eb6c は有効な LUKS デバイスではありません。
これは、プライマリLVMパーティションのフルボリュームLUKSボリュームです。上記の名前が正しいようです。これが出力ですlsblk
> lsblk -p
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT
/dev/sda 8:0 0 50G 0 disk
├─/dev/sda1 8:1 0 1G 0 part /boot
├─/dev/sda2 8:2 0 2G 0 part [SWAP]
└─/dev/sda3 8:3 0 47G 0 part
└─/dev/mapper/vg_root-lv_root 253:0 0 47G 0 lvm
└─/dev/mapper/luks-cee2a805-188f-44b6-b577-879243c0eb6c 253:1 0 47G 0 crypt /
/dev/sr0 11:0 1 1024M 0 rom
しかし、渡す適切なデバイスclevis bindや他のLUKSコマンドが見つからないようです。
> luksmeta show -d /dev/mapper/luks-cee2a805-188f-44b6-b577-879243c0eb6c
Unable to read LUKSv1 header (/dev/mapper/luks-cee2a805-188f-44b6-b577-879243c0eb6c): Invalid argument
> cryptsetup luksDump /dev/mapper/luks-cee2a805-188f-44b6-b577-879243c0eb6c
Device /dev/mapper/luks-cee2a805-188f-44b6-b577-879243c0eb6c is not a valid LUKS device.
私は完全性のためにそれを試しましたが、それが意味があると思うので、必ずしもそうではありません/dev/sda。/dev/sda3
詰まっていますが、どんなアドバイスでも本当に感謝します。
- ps私の評判はUnixとLinuxでは101にすぎませんが、StackOverflowでは2000+なので、一般的に私がやっていることを知っています。
- https://rhelblog.redhat.com/2018/04/13/an-easier-way-to-manage-disk-decryption-at-boot-with-red-hat-enterprise-linux-7-5-using- NBDE/
- https://blog.delouw.ch/2017/10/01/leveraging-network-bound-disk-encryption-at-enterprise-scale/
答え1
あなたが投稿したRedHatブログリンクによると、Clevisは暗号化されたブロックデバイス(復号化されたブロックデバイスではない)を望んでいるようです。出力ではlsblk、つまり/dev/mapper/vg_root-lv_root、復号化されたキーは、キーが提供されるまで存在しません。
これが実際に正しいデバイスであることを確認するいくつかの方法は次のとおりです。
cryptsetup luksDump /dev/mapper/vg_root-lv_root働かなければならないdmsetup table luks-cee2a805-188f-44b6-b577-879243c0eb6cデバイスマッパーマッピングテーブルが表示されます。 2番目のフィールドは、コロンで区切られた週番号とマイナー番号でなければなりません(たとえば、253:0が表示される場合があります)。一致するものを確認するために、デバイスの州/マイナー番号を使用または表示することもstatできます。ls -l