起動時にU-clipがルートパーティションのパスワードを自動的に復号化する方法を知りません。

私が望むもの

私のkali PCでTPM2チップを使用して、起動時に独自の復号化が可能な暗号化されたディスクを使用したいと思います。主な目的は、ドライブ/コンピュータが盗まれた場合にデータが漏洩するのを防ぐことです。

私がしたこと

cryptsetup-reencrypt まず、編集済みの grub 構成、fstab および crypttab、run、およびupdate-grub.txt を使用して、ブータブルupdate-initramfsドライブで luks1 の / パーティション (/dev/sda2) を暗号化しました。

これにより、暗号化されたルートパーティションから起動でき、luksパスワードを2回入力する必要があります。

次に、次のコマンドを使用してclevisをインストールし、lukをTPMにバインドしました。sudo clevis luks bind -d /dev/sda2 tpm2 '{"pcr_bank":"sha256","pcr_ids":"7"}'

ルクスヘッドに新しいキー溝を使って見ることができます。 "clevis-luks-askpass.path"サービスを有効にし、grubとinitramfsを再度更新しました。

ただし、再起動後もパスワードの入力を求められます。数分待ってみましたが、何も起こりませんでした。

私は何を逃したことがありませんか？

私が所有しているもの

パーティション：すべてを同じパーティション（/ bootを含む）に入れます。唯一の他のパーティションはefiです

ファイルシステム

$ lsblk -fs     
                    
NAME    FSTYPE      FSVER LABEL UUID                                 FSAVAIL FSUSE% MOUNTPOINTS
sda1    vfat        FAT32       08C3-0099                             510,8M     0% /boot/efi
└─sda                                                                               
root    ext4        1.0         55d30c15-a2a5-4721-b679-0e8746c54768  183,6G    16% /
└─sda2  crypto_LUKS 1           49e3950a-b1a9-449e-aeec-757bba148a84                
  └─sda                                                                             

幼虫

$ cat /etc/default/grub

GRUB_DEFAULT=0
GRUB_TIMEOUT=5
GRUB_DISTRIBUTOR=`lsb_release -i -s 2> /dev/null || echo Debian`
GRUB_CMDLINE_LINUX_DEFAULT=""
GRUB_CMDLINE_LINUX=""
GRUB_ENABLE_CRYPTODISK=y
GRUB_PRELOAD_MODULES="luks cryptodisk"

安定したテーブル

$ cat /etc/fstab

# /boot/efi was on /dev/sda1 during installation
UUID=08C3-0099  /boot/efi       vfat    umask=0077      0       1
# swap was on /dev/sda3 during installation
/swapfile       none            swap    sw              0       0

# new root
UUID=49e3950a-b1a9-449e-aeec-757bba148a84 / ext4 errors=remount-ro 0 1

暗号化テーブル

$ cat /etc/crypttab
# <target name> <source device>         <key file>      <options>
root UUID=49e3950a-b1a9-449e-aeec-757bba148a84 none luks

U字型クランプキット

$ apt list --installed | grep clevis

clevis-initramfs/kali-rolling,now 18-2+b1 amd64  [installed]
clevis-luks/kali-rolling,now 18-2+b1 amd64  [installed]
clevis-systemd/kali-rolling,now 18-2+b1 amd64  [installed]
clevis-tpm2/kali-rolling,now 18-2+b1 amd64  [installed]
clevis/kali-rolling,now 18-2+b1 amd64  [installed]

clevis-luks-askpass.path

$ sudo systemctl status clevis-luks-askpass.path

● clevis-luks-askpass.path - Forward Password Requests to Clevis Directory Watch
     Loaded: loaded (/lib/systemd/system/clevis-luks-askpass.path; enabled; vendor preset: enabled)
     Active: active (waiting) since Wed 2022-07-06 14:10:04 CEST; 1h 16min ago
      Until: Wed 2022-07-06 14:10:04 CEST; 1h 16min ago
   Triggers: ● clevis-luks-askpass.service
       Docs: man:clevis-luks-unlockers(7)

Notice: journal has been rotated since unit was started, output may be incomplete.

LSB_リリース

$ lsb_release -a

No LSB modules are available.
Distributor ID: Kali
Description:    Kali GNU/Linux Rolling
Release:    2022.2
Codename:   kali-rolling