[CentOS-es] TPM 1.2 y encriptado con luks.

Eric Abreu eabreu.cu en gmail.com
Mar Nov 23 14:59:07 UTC 2021


Hola Orkcu,

Gracias por tu respuesta. La configuración con Clevis and Tang no me va a
funcionar porque de acuerdo a la documentación oficial TPM 2.0 es un
requerimiento, y las computadoras que estoy usando únicamente soportan TPM
1.2 (
https://access.redhat.com/documentation/en-us/red_hat_enterprise_linux/8/html/security_hardening/configuring-automated-unlocking-of-encrypted-volumes-using-policy-based-decryption_security-hardening).
Muchas gracias por compartir tu experiencia. Saludos

Eric

On Mon, Nov 22, 2021 at 9:50 PM orkcu via CentOS-es <centos-es en centos.org>
wrote:

> He estado trabajando con tuks pero no con TPM,  con TANG, siguiendo los
> manuales de redhat.He tenido dos problemas "oscuros", y creo que podria
> afertar no importa como las claves se almacenan, la primera es el tema de
> red.Si pasa que la configuracion de red para el kernel (por linea de
> commando con auxilio de dracut) y la configuración de interfaces con
> network manager difieren ( por ejemplo uso de alias, bonding, etc) puedes
> terminar con tremendo reguero una vez que el sistema está online. La
> solucion fue limpiar toda la configuración de red (usando ip command) antes
> de que el servicio NetworkManager arranque. El segundo problema, y todavia
> estoy trabajando en eso, es que existe un race condition con la particion
> swap si está encriptada y el key se obtiene por red, en estas condiciones,
> el proceso de inicio se bloquea. El problema parece estar en systemd y la
> solucion existe pero no para la version que viene en rhel8. Mi sugerencia
> para ti es que sigas un manual de redhat y que estes preparado para
> encontrar problemas si tu configuración o entorno se sale un poco de lo que
> es algo sencillo.Ya te digo, en mi caso he "perdido" una semana en el
> primer bateo, y ya llevo varios dias en el segundo, se aprende pero tienes
> que dedicarle tiempo.Ahh, y es casi seguro de que necesites dracut si la
> particion / está encriptada.SuerteRoger
> -------- Original message --------From: Eric Abreu <eabreu.cu en gmail.com>
> Date: 2021-11-22  5:47 p.m.  (GMT-05:00) To: centos-es en centos.org
> Subject: [CentOS-es] TPM 1.2 y encriptado con luks. Hola a todos,Alguien
> tiene experiencia configurando inicio automático en Centos conparticiones
> encriptadas con luks. He tratado de adaptar mi configuraciónsiguiendo los
> siguientes manuales:
> https://github.com/archont00/arch-linux-luks-tpm-boothttps://github.com/morbitzer/linux-luks-tpm-boothttps://github.com/gastamper/dracut-tpmHasta
> ahora todo bien para tomar control del dispositivo TPM 1.2
> contpm_takeownership-z. También he logrado generar la llave y guardarla en
> el TPM con tpm_nvdefiney tpm_nvwrite. El problema ocurre cuando trato de
> pasarle la clavecuando el sistema operativo pregunta en el inicio. He
> tratado de configurardracut siguiendo
> https://github.com/gastamper/dracut-tpm pero no he tenidoéxito. Me
> gustaría saber si alguien ya ha configurado TPM 1.2 en
> Centos.Gracias._______________________________________________CentOS-es
> mailing listCentOS-es en centos.orghttps://
> lists.centos.org/mailman/listinfo/centos-es
> _______________________________________________
> CentOS-es mailing list
> CentOS-es en centos.org
> https://lists.centos.org/mailman/listinfo/centos-es
>


Más información sobre la lista de distribución CentOS-es