RHEL6 LUKS có hỗ trợ TPM?


7

Tôi ngạc nhiên khi câu hỏi này không được hỏi thường xuyên hơn, nhưng (trong RHEL) LUKS có hỗ trợ TPM theo cách mà Windows BitLocker không? Nếu vậy, tính năng này được triển khai như thế nào và nó có cung cấp cùng loại bảo vệ mà BitLocker cho Windows cung cấp không?

BitLocker rất phổ biến trong các doanh nghiệp và hiện tại, RHEL6 đang nhận được chứng nhận Trin cho các mô-đun mã hóa đĩa, thật tuyệt nếu nó cũng hỗ trợ cùng bộ tính năng.

Tuy nhiên, tôi hiểu rằng với cách thức hoạt động của LUKS, không phải mọi khối lượng đều có thể được mã hóa, vì hệ thống sẽ cần phải đọc /etc/fstabvà các /etc/crypttabtệp để gắn kết các ổ đĩa. Tôi tin rằng đây là OK miễn là /home, /varvà thư mục khác được lựa chọn bởi người quản trị được mã hóa.

Tôi thấy thật kỳ lạ khi "TPM" không phải là một thẻ trên serverfault.


3
Phân vùng duy nhất cần được un / s unedpted s / boot.
Zoredache

Tôi chưa bao giờ thử điều này trước đây (tôi sẽ cần thử nghiệm với nó), nhưng GRUB trong RHEL6 có hỗ trợ điều này không?
Phanto

1
Grub không cần phải biết bất cứ điều gì. Grub sẽ ở trên /bootkhối lượng chưa được mã hóa cùng với kernel và initrd. Câu hỏi thực sự là, bạn có thể dễ dàng lấy RHEL để tạo một initrd bao gồm mọi thứ bạn cần để gắn hệ thống tập tin gốc của bạn không.
Zoredache

Câu trả lời:


7

Tôi đã triển khai hỗ trợ để lưu trữ khóa LUKS của bạn trong TPM NVRAM và RHEL6 tình cờ là một nền tảng nơi tất cả các tính năng được kiểm tra đầy đủ, xem bài đăng này:

[1] https://security.stackexchange.com/a/24660/16522


Tôi chắc chắn sẽ cần phải điều tra điều này. Tôi sẽ đánh dấu đây là câu trả lời.
Phanto

1

Điều này không được hỗ trợ ngoài hộp, nhưng bạn có thể có thể hack một cái gì đó cùng nhau. Ý tưởng là niêm phong khóa LUKS trong TPM, sau đó thiết lập đường dẫn khởi động đáng tin cậy để mở khóa khóa kín. Bạn sẽ cần phải cài đặt TrustedGRUB và viết một bản mô tả để /etc/crypttablấy khóa từ TPM. Tất cả điều này sẽ xảy ra trong initrd, do đó có thể sẽ cần bao gồm các công cụ TPM. Bài đăng này có một mô tả tốt về cài đặt TPM cơ bản.


Ouch, đó là rất nhiều công việc. Thật không may, đó thực sự có vẻ như là cách duy nhất nó sẽ hoạt động. Thật tệ khi các nhà phát triển Linux đã không triển khai tính năng này theo cách đơn giản hơn. Tôi sẽ đánh dấu đây là câu trả lời, vì chưa có câu trả lời nào khác.
Phanto
Khi sử dụng trang web của chúng tôi, bạn xác nhận rằng bạn đã đọc và hiểu Chính sách cookieChính sách bảo mật của chúng tôi.
Licensed under cc by-sa 3.0 with attribution required.