Kali Linux 2022.3을 실행하는 HP EliteBook 850 G8에서 LUKS 디스크 암호화에 TPM2를 사용하려고 했습니다. 그러나 저는 Initramfs에 TPM2 디스크 암호 해독을 추가하는 작업을 진행 중입니다.
지금까지 내가 취한 단계:
- TPM2가 활성화되어 있고 운영 체제에 액세스할 수 있는지 확인하세요.
- 다음 명령을 사용하여 TPM을 암호화된 하드 드라이브에 키 저장소 1로 추가합니다.
systemd-cryptenroll --tpm2-device=auto /dev/nvme0n1p3
- 다음을 실행하여 LUKS 설정이 올바른지 확인하십시오.
cryptsetup luksDump /dev/nvme0n1p3
실패 이유:
위에 나열된 단계에 따라 /etc/crypttab
Bitlocker의 작동 방식과 유사하게 부팅 중에 LUKS2 암호화 디스크가 잠금 해제되도록 수정해 보았습니다. 그래서 파일을 crypttab
다음과 같이 변경했습니다.
nvme0n1p3_crypt UUID=<Redacted> none luks,discard,tpm2-device=auto
그런 다음 를 사용하여 initramfs를 다시 빌드하려고 시도했는데 update-initramfs -u -k all
다음과 같은 오류가 발생했습니다.
└─# sudo update-initramfs -u -k all
update-initramfs: Generating /boot/initrd.img-5.18.0-kali5-amd64
cryptsetup: WARNING: nvme0n1p3_crypt: ignoring unknown option 'tpm2-device'
나를 혼란스럽게 하는 것은 이 옵션이 systemd 버전 248 이상에 있어야 한다고 생각했다는 것입니다. v251에도 불구하고 이 옵션을 인식하지 못합니다.
여기서 무슨 일이 일어나고 있는지 설명할 수 있는 사람이 있나요? 이것은 데비안 기반 시스템에만 해당되는 것입니까, 아니면 뭔가 빠졌습니까? 어떤 도움이나 조언이라도 대단히 감사하겠습니다.
시스템 환경:
운영 체제 버전:
└─# lsb_release -a
No LSB modules are available.
Distributor ID: Kali
Description: Kali GNU/Linux Rolling
Release: 2022.3
Codename: kali-rolling
시스템 버전:
└─# systemd --version
systemd 251 (251.3-1)
+PAM +AUDIT +SELINUX +APPARMOR +IMA +SMACK +SECCOMP +GCRYPT -GNUTLS +OPENSSL +ACL +BLKID +CURL +ELFUTILS +FIDO2 +IDN2 -IDN +IPTC +KMOD +LIBCRYPTSETUP +LIBFDISK +PCRE2 -PWQUALITY -P11KIT -QRENCODE +TPM2 +BZIP2 +LZ4 +XZ +ZLIB +ZSTD -BPF_FRAMEWORK -XKBCOMMON +UTMP +SYSVINIT default-hierarchy=unified
답변1
전환할 수 dracut
있으며 기본적으로 이 구성을 어느 정도 지원합니다.
하지만 몇 가지 주의 사항이 있습니다. 부팅할 수 없게 만드는 경우 복구 셸에서 설정을 복구할 준비를 하세요. 내 경우에는 dracut이 필요하므로 initrd 이미지에 hostonly="yes"
포함됩니다 ./etc/crypttab
또는 가 있습니다 tpm2-initramfs-tool
. 비록 와 호환되지 않을 수 있지만 systemd-cryptenroll
구성하기가 더 어려운 것 같습니다.