Hola a todos,
Alguien tiene experiencia configurando inicio automático en Centos con particiones encriptadas con luks. He tratado de adaptar mi configuración siguiendo los siguientes manuales:
https://github.com/archont00/arch-linux-luks-tpm-boot https://github.com/morbitzer/linux-luks-tpm-boot https://github.com/gastamper/dracut-tpm
Hasta ahora todo bien para tomar control del dispositivo TPM 1.2 con tpm_takeownership -z. También he logrado generar la llave y guardarla en el TPM con tpm_nvdefine y tpm_nvwrite. El problema ocurre cuando trato de pasarle la clave cuando el sistema operativo pregunta en el inicio. He tratado de configurar dracut siguiendo https://github.com/gastamper/dracut-tpm pero no he tenido éxito. Me gustaría saber si alguien ya ha configurado TPM 1.2 en Centos. Gracias.
He estado trabajando con tuks pero no con TPM, con TANG, siguiendo los manuales de redhat.He tenido dos problemas "oscuros", y creo que podria afertar no importa como las claves se almacenan, la primera es el tema de red.Si pasa que la configuracion de red para el kernel (por linea de commando con auxilio de dracut) y la configuración de interfaces con network manager difieren ( por ejemplo uso de alias, bonding, etc) puedes terminar con tremendo reguero una vez que el sistema está online. La solucion fue limpiar toda la configuración de red (usando ip command) antes de que el servicio NetworkManager arranque. El segundo problema, y todavia estoy trabajando en eso, es que existe un race condition con la particion swap si está encriptada y el key se obtiene por red, en estas condiciones, el proceso de inicio se bloquea. El problema parece estar en systemd y la solucion existe pero no para la version que viene en rhel8. Mi sugerencia para ti es que sigas un manual de redhat y que estes preparado para encontrar problemas si tu configuración o entorno se sale un poco de lo que es algo sencillo.Ya te digo, en mi caso he "perdido" una semana en el primer bateo, y ya llevo varios dias en el segundo, se aprende pero tienes que dedicarle tiempo.Ahh, y es casi seguro de que necesites dracut si la particion / está encriptada.SuerteRoger -------- Original message --------From: Eric Abreu eabreu.cu@gmail.com Date: 2021-11-22 5:47 p.m. (GMT-05:00) To: centos-es@centos.org Subject: [CentOS-es] TPM 1.2 y encriptado con luks. Hola a todos,Alguien tiene experiencia configurando inicio automático en Centos conparticiones encriptadas con luks. He tratado de adaptar mi configuraciónsiguiendo los siguientes manuales:https://github.com/archont00/arch-linux-luks-tpm-boothttps://github.com/morb... ahora todo bien para tomar control del dispositivo TPM 1.2 contpm_takeownership-z. También he logrado generar la llave y guardarla en el TPM con tpm_nvdefiney tpm_nvwrite. El problema ocurre cuando trato de pasarle la clavecuando el sistema operativo pregunta en el inicio. He tratado de configurardracut siguiendo https://github.com/gastamper/dracut-tpm pero no he tenidoéxito. Me gustaría saber si alguien ya ha configurado TPM 1.2 en Centos.Gracias._______________________________________________CentOS-es mailing listCentOS-es@centos.orghttps://lists.centos.org/mailman/listinfo/centos-es
Hola Orkcu,
Gracias por tu respuesta. La configuración con Clevis and Tang no me va a funcionar porque de acuerdo a la documentación oficial TPM 2.0 es un requerimiento, y las computadoras que estoy usando únicamente soportan TPM 1.2 ( https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/8/htm...). Muchas gracias por compartir tu experiencia. Saludos
Eric
On Mon, Nov 22, 2021 at 9:50 PM orkcu via CentOS-es centos-es@centos.org wrote:
He estado trabajando con tuks pero no con TPM, con TANG, siguiendo los manuales de redhat.He tenido dos problemas "oscuros", y creo que podria afertar no importa como las claves se almacenan, la primera es el tema de red.Si pasa que la configuracion de red para el kernel (por linea de commando con auxilio de dracut) y la configuración de interfaces con network manager difieren ( por ejemplo uso de alias, bonding, etc) puedes terminar con tremendo reguero una vez que el sistema está online. La solucion fue limpiar toda la configuración de red (usando ip command) antes de que el servicio NetworkManager arranque. El segundo problema, y todavia estoy trabajando en eso, es que existe un race condition con la particion swap si está encriptada y el key se obtiene por red, en estas condiciones, el proceso de inicio se bloquea. El problema parece estar en systemd y la solucion existe pero no para la version que viene en rhel8. Mi sugerencia para ti es que sigas un manual de redhat y que estes preparado para encontrar problemas si tu configuración o entorno se sale un poco de lo que es algo sencillo.Ya te digo, en mi caso he "perdido" una semana en el primer bateo, y ya llevo varios dias en el segundo, se aprende pero tienes que dedicarle tiempo.Ahh, y es casi seguro de que necesites dracut si la particion / está encriptada.SuerteRoger -------- Original message --------From: Eric Abreu eabreu.cu@gmail.com Date: 2021-11-22 5:47 p.m. (GMT-05:00) To: centos-es@centos.org Subject: [CentOS-es] TPM 1.2 y encriptado con luks. Hola a todos,Alguien tiene experiencia configurando inicio automático en Centos conparticiones encriptadas con luks. He tratado de adaptar mi configuraciónsiguiendo los siguientes manuales: https://github.com/archont00/arch-linux-luks-tpm-boothttps://github.com/morb... ahora todo bien para tomar control del dispositivo TPM 1.2 contpm_takeownership-z. También he logrado generar la llave y guardarla en el TPM con tpm_nvdefiney tpm_nvwrite. El problema ocurre cuando trato de pasarle la clavecuando el sistema operativo pregunta en el inicio. He tratado de configurardracut siguiendo https://github.com/gastamper/dracut-tpm pero no he tenidoéxito. Me gustaría saber si alguien ya ha configurado TPM 1.2 en Centos.Gracias._______________________________________________CentOS-es mailing listCentOS-es@centos.orghttps:// lists.centos.org/mailman/listinfo/centos-es _______________________________________________ CentOS-es mailing list CentOS-es@centos.org https://lists.centos.org/mailman/listinfo/centos-es
-
Eric Abreu -
orkcu