「Booster」の版間の差分

提供: ArchWiki
ナビゲーションに移動 検索に移動
(→‎Clevis 暗号化: YubiKey バインディングの項目を翻訳して追加)
(→‎Clevis 暗号化: Systemd スタイル バインディングの項目を翻訳して追加)
131行目: 131行目:
 
extra_files: ykchalresp
 
extra_files: ykchalresp
 
}}
 
}}
  +
  +
==== Systemd スタイル バインディング ====
  +
  +
Booster は {{ic|systemd-fido2}} や {{ic|systemd-tpm2}} などのパーティションが [http://0pointer.net/blog/unlocking-luks2-volumes-with-tpm2-fido2-pkcs11-security-hardware-on-systemd-248.html systemd にバインドされていても] 対応しています。
  +
  +
systemd-fido2` を利用する場合は、{{Pkg|libfido2}} パッケージをインストールし、以下の設定で fido2-assert をイメージに追加してください。
  +
  +
{{hc|/etc/booster.yaml|
  +
extra_files: fido2-assert
  +
}}
  +
  +
[[Booster#ブースターイメージの再生成|ブースターイメージの再生成]] Booster は起動時にこの設定を検出し、現在の YubiKey を使ってドライブのロックを解除します。
   
 
== デバッグ ==
 
== デバッグ ==

2022年1月18日 (火) 03:08時点における版

関連記事

Booster は高速な initramfs ジェネレータで、mkinitcpiodracut と似ています。 Booster は distri プロジェクト に着想を得ており、小型で高速な init イメージを生成することを目指しています。

Booster は以下の2つのコンポーネントから構成されています:

  • Initramfs ジェネレータ /usr/bin/booster ユーザー空間ツール。initramfs イメージの生成を行います。
  • 生成されたイメージは通常 /boot/ に配置され、システムブートローダーによって Linux OS を起動するのに使われます。

インストール

警告: Booster はまだ開発途上であり、完全に安定してる状態とはいえません。バックアップ用に他の initramfs ジェネレータ (例: mkinitcpio) を保持しておくことを推奨します。

booster-gitAUR パッケージをインストールしてください。パッケージのインストールフックによって initramfs イメージが生成されます (インストールされているカーネル (例: linux, linux-lts) ごとにひとつずつ)。イメージは /boot ディレクトリに配置されます:

$ ls -lh /boot/booster*
-rwxr-xr-x 1 root root 4.0M Dec 16 16:20 /boot/booster-linux.img

また、イメージは手動で生成することもできます:

$ booster -output mybooster.img

設定

Booster ジェネレータの設定は /etc/booster.yaml にあります。設定ファイルがない場合は、デフォルトの設定(ホスト固有の画像、ネットワークなし)が使用されます。

設定ファイルを使用することで、デフォルトの動作を上書きすることができます。詳しくは booster(1) § CONFIG FILE を参照してください。

ブースターイメージの再生成

ブースターの設定が終わったら、/boot にあるブースターイメージを更新する必要があります。イメージは booster -output booster-foo.img で手動で生成するか、インストールされている全てのカーネルを繰り返し、それぞれのブースターイメージを生成する便利なスクリプト /usr/lib/booster/regenerate_images を利用して生成します。

ブートローダーの設定

イメージを生成したら、次にブートローダーを設定します。

rEFInd

すでに 自動検出 に依存した設定になっている場合、追加の設定変更は必要ありません。rEFIndinitrd files named booster* をサポートしています。

initramfs のパスを refind.confmanual boot stanzas で手動で指定する場合、正しいファイル名を使っているか確認してください。例えば booster-linux.img の代わりに initramfs-linux.img とします。

systemd-boot

新しい initramfs イメージを systemd-boot で使うには以下のようにブートローダーエントリを作成します:

/boot/loader/entries/booster.conf
title Arch Linux with booster
linux /vmlinuz-linux
initrd /booster-linux.img
options root=UUID=08f83949-bcbb-47bb-bc17-089aaa59e17e rw

上記でルートファイルシステムは UUID=08f83949-bcbb-47bb-bc17-089aaa59e17e と指定しています。blkid /dev/ROOTDEVICE を実行して、あなたのデバイスの UUID を確認してください。

暗号化の有効化

Booster は LUKS ベースの完全ディスク暗号化をサポートしています。ジェネレータは特別な設定を必要としません。initramfs には、ルートが存在する LUKS パーティションの情報を追加する必要があります。rd.luks.uuid=LUKSUUID あるいは rd.luks.name=LUKSUUID=LUKSNAME カーネルパラメータをブートローダーの設定ファイルで指定してください。LUKSUUID は Booster で解錠する暗号化した LUKS パーティションの UUID を示します。UUID にはクォートを含まないので注意してください。LUKSNAME は解錠されたパーティションの名前を示します (/dev/mapper/NAME)。

イメージの再生成は必要ありません。ブートローダーの設定ができたら、コンピュータを再起動してください。その後 Enter passphrase for YOURROOT: プロンプトが起動時に表示されるので、暗号化したルートパーティションのパスワードを入力してください。

Clevis 暗号化

ノート: Booster 固有ではない Clevis 情報用の別のページを作成する

暗号化された LUKS パーティションの解錠に、ユーザーによるパスワードの入力を使うというのは伝統的で広く使われる方法ですが、デメリットも存在します:

  • 手動で入力する必要があるため、自動的に起動したい場合には使えません (例: 巨大なサーバーファーム)。
  • 普通の人間が覚えられるパスワードの長さには限界があり (エントロピーにして ~20-30 ビット)、近代的なブロック暗号に使う鍵としては弱すぎます (128/256 ビット)。

解決策としては強固な鍵を別のどこかに保持しておくという方法があります。例えば TPM チップや Yubikey、あるいは他のネットワークサービスなどが考えられます。Clevis はこのアイデアを実現するフレームワークです。抜き差し可能な pin を使ってデータを暗号化します (clevis の用語では bind)。現在 clevis には3つの pin が存在します:

  • TPM2 データバインディング
  • ネットワークサービス (別名 Tang) データバインディング
  • シャミア秘密分散で他の pin を組み合わせる

Booster は上記3つの pin 全てに対応しています。

clevis を使うには clevis パッケージをインストールしてください。以下は TPM2 によるデータバインディングの例です (あなたのコンピュータに TPM チップが搭載されている場合にのみ動作します):

$ clevis encrypt tpm2 '{}' <<< 'hello, world'
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..1P2Emag_4k-GlhyY.MuQQYPa8QHrysZ74uA.0ddDxfZA3R-cCmaKu5yUZA

base64 でエンコードされた長いメッセージが内部の TPM キーで暗号化されたテキストです。このテキストは現在使っているコンピュータでしか復号化できません。他のコンピュータで復号化しようとするとエラーが返ってきます。

$ clevis decrypt tpm2 '{}' <<< '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..1P2Emag_4k-GlhyY.MuQQYPa8QHrysZ74uA.0ddDxfZA3R-cCmaKu5yUZA'
hello, world

Clevis を使って LUKS パーティションをバインドすることができます、例:

# clevis luks bind -d /dev/nvme0n1p2 tpm2 '{}'

TPM チップで暗号化されたパスワードを使って LUKS スロットが作成されます。以下を実行することで確認できます:

# cryptsetup luksDump /dev/nvme0n1p2
...
Tokens:
 0: clevis
   Keyslot:  1
...

ひとつの clevis トークンが表示されています。LUKS はトークンを使って「どこか (例: TPM チップ) に存在する」パスワードのメタデータを保存します。詳しくは clevis のドキュメントを見てください。

Booster は LUKS トークンを読み込んで、clevis の情報をデコードして、パスワードを再構築してパーティションを自動的に解錠します。

tpm2sss ピンにバインドされたパーティションは特に booster 側の設定を必要としません。Tang (ネットワークバインド) ピンはネットワークを必要とします。詳しくは #設定 セクションを見てください。

YubiKey バインディング

Clevis では、YubiKey の challenge-response mode を使って LUKS パーティションをバインドすることができます。LUKS パーティションのバインディングを行うには、以下を実行してください。

# clevis luks bind -d /dev/sdb2 yubikey '{"slot":1}'

yubikey-personalization をインストールします。設定ファイルを編集し、以下のオプションを追加します。

/etc/booster.yaml
extra_files: ykchalresp

Systemd スタイル バインディング

Booster は systemd-fido2systemd-tpm2 などのパーティションが systemd にバインドされていても 対応しています。

systemd-fido2` を利用する場合は、libfido2 パッケージをインストールし、以下の設定で fido2-assert をイメージに追加してください。

/etc/booster.yaml
extra_files: fido2-assert

ブースターイメージの再生成 Booster は起動時にこの設定を検出し、現在の YubiKey を使ってドライブのロックを解除します。

デバッグ

Booster が上手く動かない場合、デバッグ出力を有効にすることで何が起こっているか情報を得ることができます:

  • ジェネレータのデバッグは -debug コマンドラインフラグを使ってください: booster -debug
  • init のデバッグは booster.debug=1 カーネルパラメータが存在します。

Booster に問題があると思われる場合は https://github.com/anatol/booster/issues でチケットを作成してください。

参照