FIDO2를 사용하여 luks 볼륨 잠금 해제를 설정하고 sd-cryptenroll을 사용하여 복구 키를 설정했습니다.
systemd-cryptenroll --fido2-device=auto /dev/my-luks-device
슬롯 구성은 다음과 같습니다.
SLOT TYPE
1 recovery
3 fido2
모든 것이 잘 작동하지만 이상한 방식으로 작동합니다. 부팅할 때 먼저 복구 키를 묻는 메시지가 표시되고 Enter를 몇 번 누르면 기본적으로 복구 키가 실패하고 사용자가 있는 경우에만 fido2를 입력하라는 메시지가 표시됩니다. .
맨 페이지에는 이에 대한 언급이 없지만 이것이 슬롯 순서와 관련이 있는지 궁금합니다. 실제로 FIDO 잠금 해제를 시도하기 전에 TPM2를 설정했고, TPM이 슬롯 2로 설정되었음에도 불구하고 복구 키를 먼저 요청한 적이 없으므로 여기서는 문제가 아닐 수 있습니다.
어떤 도움이라도 대단히 감사하겠습니다. 감사합니다!
답변1
내 FIDO2 장치는 Yubikey 형식을 취합니다. 사용자에게 존재 여부를 묻기 위해서는 시작하기 전에 컴퓨터에 연결되어 있어야 합니다. 이 작업을 수행하지 않으면 비밀번호를 묻는 메시지가 표시됩니다.
그러나 등록이 PIN을 요구하도록 설정된 경우 Yubikey는 비밀번호 프롬프트 후에 연결할 수 있습니다. 그런 다음 PIN(비밀번호 아님)을 입력하여 볼륨 잠금을 해제합니다.
참고로 저는 페도라로 해보고 따라했어요이 앱이 기능을 설정하세요.