Юбики на нескольких дисках LUKS

В качестве альтернативы специфичной для Yubikey реализации, вы можете использовать стандарт (Yubikey 5+, другие бренды) вместе счтобы разблокировать тома LUKS2 .

Говорят, что , даже при использовании одного и того же аутентификатора для нескольких дисков LUKS2 или для других целей. (Это может быть просто потому, что совместимые смарт-карты предварительно настроены для FIDO2.)

Ниже приведены минимальные шаги для дискаsda5и объем LUKS2myvolume.

      systemd-cryptenroll --fido2-device=auto /dev/sda5

Также редактировать/etc/crypttabвключить опциюfido2-device=autoв четвертом столбце.

      myvolume /dev/sda5 - fido2-device=auto

При желании настройте, например, проверку присутствия пользователя, которая требует прикосновения к Yubikey для разблокировки.

Несколько стандартов аутентификации поддерживаются .

• FIDO2ФИДО2 , сhmac-secretрасширение. Поддерживается Yubikey 5+ и некоторыми другими брендами.
• ПКС №11 . Для Yubikey это требует настройки слотов PIV/сертификатов Yubikey. (Аналогично использованию слотов Yubikey для HMAC-SHA1, используемыхyubikey-luks.)
• Поддержка доверенных платформенных модулей 2.0 (TPM2) . Использует микросхему TPM2, которая по сути представляет собой встроенную системную смарт-карту.

Дополнительные сведения см. в записи блога Леннарта Поттеринга « FIDO2 «просто работает»Разблокировка томов LUKS2 с помощью оборудования безопасности TPM2, FIDO2, PKCS#11 на systemd 248 » от 13 января 2021 г. См. также связанные идеи, такие как разделение системного и пользовательского шифрования домашних каталогов и неизменяемые образы операционных систем .

Обратите внимание, чтоsystemd-cryptenrollподдержка довольно новая, и не все дистрибутивы/версии включают все функции по умолчанию. В моей системе Ubuntu 22.04.1 LTS :

      systemd --version

      systemd 249 (249.11-0ubuntu3.6)
+PAM +AUDIT +SELINUX +APPARMOR +IMA +SMACK +SECCOMP +GCRYPT +GNUTLS +OPENSSL +ACL +BLKID +CURL +ELFUTILS +FIDO2 +IDN2 -IDN +IPTC +KMOD +LIBCRYPTSETUP +LIBFDISK +PCRE2 -PWQUALITY -P11KIT -QRENCODE +BZIP2 +LZ4 +XZ +ZLIB +ZSTD -XKBCOMMON +UTMP +SYSVINIT default-hierarchy=unified

Обратите внимание, что+LIBCRYPTSETUPи+FIDO2включены, но и то, что-P11KITвыключен.

Возможно, ваш сценарий настройки диска случайно сбрасывает Yubikey?

Шаги в ответе на связанный вопрос от @seanlano объясняют, что второй слот Yubikey нужно инициализировать/запрограммировать для HMAC-SHA1 только один раз. Если запустить инициализацию слота Yubikey ykpersonalizeво время настройки каждого диска, вы перезапишете секретный ключ слота Yubikey, который вы использовали во время предыдущих настроек диска.

3. Инициализируйте слот Yubikey для HMAC-SHA1.

Теперь нам нужно запрограммировать второй слот Yubikey с конфигурацией HMAC-SHA1. Это удалит вашу предыдущую конфигурацию слота, которая по умолчанию пуста. Опять же, если вы используете HMAC-SHA1 для чего-то другого , не вводите эту команду — она сотрет вашу конфигурацию. Вы можете безопасно использовать тот же секретный ключ внутри Yubikey для этой настройки LUKS, что и для других целей. (Например, с другого компьютера с помощью LUKS+Юбикей).

       ykpersonalize -2 -ochal-resp -ochal-hmac -ohmac-lt64 -oserial-api-visible

Решение при первоначальной настройке состоит в том, чтобы не перепрограммировать слот Yubikey каждый раз — достаточно одного раза для всех дисков.

Чтобы исправить это, вы можете сбросить слот 7 LUKS на каждом диске, заменив все предыдущие учетные данные, хранящиеся там. Это также описано в ответе @seanlano. Поскольку вы уже настроили свой Yubikey, требуется только одна команда для каждого диска.

С настройкой, указанной в вашем вопросе, это yubikey-luksкоманды. Обязательно настройте его на текущую настройку, если она изменилась с тех пор, так как это удалит ваши текущие учетные данные для этого слота LUKS.

      sudo yubikey-luks-enroll -d /dev/nvme0n1p3 -s 7 -c
sudo yubikey-luks-enroll -d /dev/nvme0n1p4 -s 7 -c
sudo yubikey-luks-enroll -d /dev/sda1 -s 7 -c