Ich bin überrascht, dass diese Frage nicht häufiger gestellt wird, aber (in RHEL) unterstützt LUKS TPMs wie Windows BitLocker? Wenn ja, wie wird diese Funktion implementiert und bietet sie denselben Schutz wie BitLocker für Windows?
BitLocker ist bei Unternehmen sehr beliebt. Da RHEL6 nun die FIPS-Zertifizierung für die Festplattenverschlüsselungsmodule erhält, wäre es großartig, wenn es auch denselben Funktionsumfang unterstützen würde.
Ich verstehe jedoch, dass mit der Funktionsweise von LUKS nicht jedes Volume verschlüsselt werden kann, da das System die /etc/fstab
und die /etc/crypttab
Dateien lesen müsste, um die Volumes bereitzustellen. Ich glaube , das ist in Ordnung, solange /home
, /var
und andere vom Administrator ausgewählten Verzeichnissen verschlüsselt sind.
Ich finde es seltsam, dass "TPM" kein Tag bei Serverfault ist.
quelle
/boot
zusammen mit dem Kernel und initrd auf dem unverschlüsselten Volume befinden. Die eigentliche Frage ist, ob Sie den RHEL leicht dazu bringen können, eine initrd zu generieren, die alles enthält, was Sie zum Mounten Ihres Root-Dateisystems benötigen.Antworten:
Ich habe Unterstützung für das Speichern Ihres LUKS-Schlüssels im TPM-NVRAM implementiert, und RHEL6 ist zufällig die einzige Plattform, auf der alle Funktionen vollständig getestet wurden. Siehe diesen Beitrag:
[1] https://security.stackexchange.com/a/24660/16522
quelle
Dies wird nicht sofort unterstützt, aber Sie können wahrscheinlich etwas zusammen hacken. Die Idee ist, den LUKS-Schlüssel im TPM zu versiegeln und dann einen vertrauenswürdigen Startpfad einzurichten, der den versiegelten Schlüssel entsperrt. Sie müssen TrustedGRUB installieren und ein Keyscript schreiben, für
/etc/crypttab
das der Schlüssel aus dem TPM abgerufen wird. Dies wird alles in der initrd geschehen, so dass wahrscheinlich die TPM-Tools enthalten sein müssen. Dieser Beitrag enthält eine gute Beschreibung der grundlegenden TPM-Installation.quelle