在Indri上用TPM2解锁根盘

Question

背景：

使用手册中的信息：

http://manpages.ubuntu.com/manpages/impish/man1/systemd-cryptenroll.1.html

我已经成功地用命令systemd-cryptenroll --tpm2-device=auto /dev/sda3向LUKS磁盘添加了一个TPM2.0键

但是，我不知道如何配置/etc/crypttab，以便在引导时启用自动解锁。

我试图查看手册页中的信息：http://manpages.ubuntu.com/manpages/impish/man5/crypttab.5.html

问题：

如何配置/etc/crypttab并重新生成initramfs以支持根磁盘启动时的TPM2解锁以及密码回退？

Answer 1

我在22.04上实现了这一点，并且(只是)发布了一个存储库，以帮助任何想让TPM2在引导时自动解密他们的磁盘的人。

https://github.com/wmcelderry/systemd_使用_tpm2

这是为那些已经知道LUKS是什么，密码做什么，以及如何遵循Arch wiki指南，并应用他们已经有很好的文档(谢谢各位！)你想在Ubunutu工作。

所以，它不容易使用，但它确实使它比没有它的工作容易一点，最终，它提供了线索，我做了什么，使它发挥作用，如果你正在挣扎。

隧道尽头有一盏灯..。

Answer 2

我在Arch做过这件事，阅读了不同的wiki页面。这可能有一定的适用性(尽管我将在Ubuntu中再次做同样的事情)

密码的详细信息在这里：https://wiki.archlinux.org/title/Trusted_平台_模块#_加密_使用_卢克斯

但是刷新initramfs的方法可能有所不同：

sudo update-initramfs -c -k $(uname -r)

Answer 3

对于其他人来说：

我相信Indri是无法做到这一点的(不是在当前时间/开箱即用，而是可能会进行后续更新)。

Systemd版本是来自安装媒体的v248 (248.3-1 ubuntu8)或最新更新: systemd 248 (248.3-1 ubuntu8.2)

在我看来，对TPM解密的支持是在systemd 249中引入的，基于这个手册页，说明它(A)支持TPM，(B)是由systemd v249 在撰写本报告时：https://man7.org/linux/man-pages/man5/crypttab.5.html提供的。

通过查看系统密码设置，我看到了一个有用的脚本，它指示了如何设置和测试操作系统和我想要的系统：https://github.com/systemd/systemd/blob/c40671ba16805909925c70a9708b4b80031834cb/man/tpm2-crypttab.sh。

这在Systemd V248上不起作用，所以我希望v249是它使用的第一个。

我正在下载和测试每日的Jammy版本，看看这在22.04中是否有效，并打算返回。

希望这能帮到别人。