Decrypt luks volume menggunakan jaringan berbasis policy-based Redhat Plow 9.3

Server

install tang server

1
sudo dnf install tang

sebelum melakukan installasi pastikan:

  • package policycoreutils-python-utilsdan package yang terhubung dengannya telah terinstall.

  • pastikan service firewalld berjalan dengan baik

kita akan menjalankan tang server pada port 7500 untuk itu kita harus membuat selinux policy untuk memberikan izin bagi tang server untuk bisa beroperasi pada port 7500

1
semanage port -a -t tangd_port_t -p tcp 7500

selanjutnya kita pastikan untuk membuka port 7500 pada firewall dengan perintah

1
firewall-cmd --zone=public --permanent --add-port=7500/tcp

reload firewall untuk aktivasi konfigurasi dengan perintah

1
firewall-cmd --reload

selanjutnya enable service tangd dengan perintah

1
systemctl enable tangd.socket

setelah socket active kita ubah bind default dari tang yang awalnya berjalan pada port 80 menjadi port 7500 dengan perintah

1
systemctl edit tangd.socket

selanjutnya isikan konfigurasi berikut

1
2
3
[Socket]
ListenStream=
ListenStream=7500

save konfigurasi dan lakukan reload-daemon dengan perintah

1
systemctl daemon-reload

lakukan pengecekan service tang dengan perintah

1
systemctl show tangd.socket -p Listen

pastikan output dari perintah tersebut adalah sebagai berikut

1
Listen=[::]:7500 (Stream)

selanjutnya restart service dengan perintah

1
systemctl restart tangd.socket

Client

install package clevis dan clevis-luks dengan perintah

1
dnf install clevis clevis-luks

Selanjutnya :

  • buka cockpit pada komputer client

  • pilih menu storage

  • pada section FileSystem click disk yang terenksripsi dengan luks

  • klik tanda [>] pada disk tersebut dan pilih menu encryption.

  • klik tanda [+] dan tambahkan key

    image

  • pilih Tang Server sebagai kunci, dan masukan ip dari tang server beserta password yang digunakan untuk membuka enkripsi luks pada komputer cline

image

  • Pada terminal di tang server gunakan perintah tang-show-keys untuk membandingkan hash antara komputer client dan tang server

    1
    2
    
    tang-show-keys 7500
    fM-EwYeiTxS66X3s1UAywsGKGnxnpll8ig0KOQmr9CM
    
  • Selanjutnya klik trust key dan pastikan kedua nilai hash sama

image

  • verifikasi clevis telah berjalan pada awal mula proses boot dengan perintah

    1
    
     lsinitrd | grep clevis
    

    idealnya ouput dari command tersebut adalah

    1
    2
    3
    4
    5
    
    clevis
    clevis-pin-null
    clevis-pin-sss
    clevis-pin-tang
    clevis-pin-tpm2
    

Reference

Configuring automated unlocking of encrypted volumes using policy-based decryption Red Hat Enterprise Linux 8

comments powered by Disqus