부팅 시 U-clip이 루트 파티션의 암호를 자동으로 해독하도록 만드는 방법을 모르겠습니다.

내가 원하는 건

내 kali PC에서 TPM2 칩을 사용하여 부팅 시 자체 암호 해독이 가능한 암호화된 디스크를 갖고 싶습니다. 주요 목적은 드라이브/컴퓨터를 도난당한 경우 데이터 유출을 방지하는 것입니다.

내가 뭘 한거지

cryptsetup-reencrypt 먼저 편집된 grub 구성, fstab 및 crypttab, run update-grub및 .txt를 사용하여 update-initramfs부팅 가능한 드라이브에서 luks1의 / 파티션(/dev/sda2)을 암호화했습니다 .

이를 통해 암호화된 루트 파티션에서 부팅할 수 있으며 luks 비밀번호를 두 번 입력해야 합니다.

그런 다음 다음 명령을 사용하여 clevis를 설치하고 luk를 TPM에 바인딩했습니다.sudo clevis luks bind -d /dev/sda2 tpm2 '{"pcr_bank":"sha256","pcr_ids":"7"}'

Luks 헤드에 새로운 키 홈을 사용하여 볼 수 있습니다. "clevis-luks-askpass.path" 서비스를 활성화하고 grub 및 initramfs를 다시 업데이트했습니다.

하지만 재부팅한 후에도 비밀번호를 묻는 메시지가 계속 표시됩니다. 몇 분 정도 기다려 보았으나 아무 일도 일어나지 않았습니다.

내가 뭐 놓친 거 없니?

내가 소유한 것

파티션: 모든 것을 동일한 파티션(/boot 포함)에 넣습니다. 유일한 다른 파티션은 efi입니다

파일 시스템

$ lsblk -fs     
                    
NAME    FSTYPE      FSVER LABEL UUID                                 FSAVAIL FSUSE% MOUNTPOINTS
sda1    vfat        FAT32       08C3-0099                             510,8M     0% /boot/efi
└─sda                                                                               
root    ext4        1.0         55d30c15-a2a5-4721-b679-0e8746c54768  183,6G    16% /
└─sda2  crypto_LUKS 1           49e3950a-b1a9-449e-aeec-757bba148a84                
  └─sda                                                                             

애벌레

$ cat /etc/default/grub

GRUB_DEFAULT=0
GRUB_TIMEOUT=5
GRUB_DISTRIBUTOR=`lsb_release -i -s 2> /dev/null || echo Debian`
GRUB_CMDLINE_LINUX_DEFAULT=""
GRUB_CMDLINE_LINUX=""
GRUB_ENABLE_CRYPTODISK=y
GRUB_PRELOAD_MODULES="luks cryptodisk"

안정된 테이블

$ cat /etc/fstab

# /boot/efi was on /dev/sda1 during installation
UUID=08C3-0099  /boot/efi       vfat    umask=0077      0       1
# swap was on /dev/sda3 during installation
/swapfile       none            swap    sw              0       0

# new root
UUID=49e3950a-b1a9-449e-aeec-757bba148a84 / ext4 errors=remount-ro 0 1

암호화 테이블

$ cat /etc/crypttab
# <target name> <source device>         <key file>      <options>
root UUID=49e3950a-b1a9-449e-aeec-757bba148a84 none luks

U자형 클램프 키트

$ apt list --installed | grep clevis

clevis-initramfs/kali-rolling,now 18-2+b1 amd64  [installed]
clevis-luks/kali-rolling,now 18-2+b1 amd64  [installed]
clevis-systemd/kali-rolling,now 18-2+b1 amd64  [installed]
clevis-tpm2/kali-rolling,now 18-2+b1 amd64  [installed]
clevis/kali-rolling,now 18-2+b1 amd64  [installed]

clevis-luks-askpass.path

$ sudo systemctl status clevis-luks-askpass.path

● clevis-luks-askpass.path - Forward Password Requests to Clevis Directory Watch
     Loaded: loaded (/lib/systemd/system/clevis-luks-askpass.path; enabled; vendor preset: enabled)
     Active: active (waiting) since Wed 2022-07-06 14:10:04 CEST; 1h 16min ago
      Until: Wed 2022-07-06 14:10:04 CEST; 1h 16min ago
   Triggers: ● clevis-luks-askpass.service
       Docs: man:clevis-luks-unlockers(7)

Notice: journal has been rotated since unit was started, output may be incomplete.

LSB_릴리스

$ lsb_release -a

No LSB modules are available.
Distributor ID: Kali
Description:    Kali GNU/Linux Rolling
Release:    2022.2
Codename:   kali-rolling