再起動時にUSBスティックを挿入すると、TPMはサーバーのパスワードなしの起動を許可しません。 USB HDDを接続すると、サーバーをパスワードなしで起動できます。
私たちのサーバーはLinuxカーネルバージョン4.18.0-240でCentos 8.3を実行しています。 TPM2モジュールは、複数のパーティション(//ホームスワップなどを含む)で構成されたLVMグループのLUKSバージョン1暗号化で使用されます。 LUKSヘッダースロット0はパスワード用で、スロット1はTPM用です。
LUKS ヘッダスロット 1 は PCR 値 0、1、2、3 にバインドされます。したがって、BIOS(0)、BIOS構成(1)、オプションROM(2)、およびオプションROM構成(3)です。
私が理解したところ、オプションROMはPOSTブートプロセス中にロードされたファームウェアで構成されています。 TPMの署名中にシステムの状態が変わると、TPMはパスワードなしでシステムを起動することを許可しません。 USBスティックには起動中にロードできるファームウェアがあるので、最初はPCR値0と1(つまり、オプションROMなし)にバインドするだけで効果があると思いました。これはうまくいきません。
USBスティックが接続されたTPMから起動しない理由に関する提案がある場合は、大変感謝します。
答え1
USBスティックを挿入してシステムを再起動した後、PCR値が変更されることがわかりました。このPCR値をバインドしないことでUSBスティックを挿入した状態でTPMを正常に起動しました。
私たちの場合、USBスティックを挿入してシステムを再起動すると、PCR 1(BIOS設定)は引き続き変更されました。
PCR値を照会するために使用するコマンドはですtpm2_pcrread
。 sha1 および sha256 の PCR 値がリストされます。 PCR 値の標準出力を変更前後のファイルにリダイレクトし、diff
コマンドを使用して各ファイル間の変更を監視します。