эскроу-файлы шифрования диска на centos через кикстарт

Question

Я пытаюсь автоматизировать установку centos через PXE и ​​запускать с помощью зашифрованных файловых систем. В случае, если мы пропустим парольную фразу, мы хотим использовать файлы условного депонирования и зашифровать их, используя открытый ключ, прикрепленный к сертификату x509, полученному с веб-сервера. Соответствующая строка в файле кикстарта:

logvol /home --fstype ext4 --name=lv02 --vgname=vg01 --size=1 --grow --encrypted --escrowcert=http://10.0.2.2:8080/escrow.crt --passphrase=XXXX --backuppassphrase

Оставлять сертификат как PEM, закодированный на веб-сервере, а не DER, кажется, не имеет значения, либо работать до определенного момента.

Файловая система создается и шифруется с использованием прилагаемой парольной фразы и может быть открыта при перезагрузке без проблем. Два файла условного депонирования создаются, как ожидается, и если с помощью базы данных NSS, содержащей закрытый ключ и первый файл условного депонирования, я получаю, как мне кажется, парольную фразу, но она не разблокирует диск. Например:

# volume_key --secrets -d /tmp/nss e04a93fc-555b-430b-a962-1cdf921e320f-escrow
    Data encryption key:<span class="whitespace other" title="Tab">»</span>817E65AC37C1EC802E3663322BFE818D47BDD477678482E78986C25731B343C221CC1D2505EA8D76FBB50C5C5E98B28CAD440349DC0842407B46B8F116E50B34

Я предполагаю, что строка от 817 до B34 является парольной фразой, но использование ее в команде cryptsetup не работает.

[root@mypxetest ~]# cryptsetup -v status home
/dev/mapper/home is inactive.
Command failed with code 19.

[root@mypxetest ~]# cryptsetup luksOpen /dev/rootvg01/lv02 home
Enter passphrase for /dev/rootvg01/lv02: 
No key available with this passphrase.
Enter passphrase for /dev/rootvg01/lv02: 

При появлении запроса я вставляю длинную числовую строку, но получаю сообщение Нет ключа доступно. Однако, если я использую парольную фразу, указанную в файле кикстарта, или файл резервного депонирования, диск разблокируется.

# volume_key --secrets -d /tmp/nss e04a93fc-555b-430b-a962-1cdf921e320f-escrow-backup-passphrase 
Passphrase:<span class="whitespace other" title="Tab">»</span>QII.q-ImgpN-0oy0Y-RC5qa

Затем работает строка QII.q-ImgpN-0oy0Y-RC5qa в команде crypsetup.

Кто-нибудь знает, что мне не хватает? Почему не работают оба файла условного депонирования?

Answer 1

Я еще кое-что прочитал, и файл, заканчивающийся на условное депонирование, не является альтернативной парольной фразой для тома luks, но он содержит ключ шифрования, который, конечно, зашифрован. При расшифровке длинная строка является ключом шифрования, а в остальной части текста есть подсказка, которую, признаюсь, я не очень хорошо прочитал.