CentOS 8 server setup with full disk encryption and automatic disk decryption for automatic update.

Cette vidéo explique comment mettre en place une partition dédiée aux clefs de déchiffrement que dracut pourra utiliser pour les redémarrages liés aux mises à jour automatiques.

CentOS 8 avec son module systemd-cryptsetup n’a pas encore implémenté la possibilité de déchiffrer une partition root avec un fichier.

Cette installation permet de mettre en place des mises à jour automatiques avec un redémarrage du serveur sans intervention humaine.

Le serveur copie les clefs dès qu’un redémarrage est nécessaire et les supprimes au boot.

Le problème est présent dans le bugtracker depuis 2013.
https://bugzilla.redhat.com/show_bug.cgi?id=905683

Dracut prends en charge les keydevice nativement depuis pas mal d’année en utilisant les arguments du kernel sous la forme rd.luks.key=keypath:keydev:luksdev.
https://mirrors.edge.kernel.org/pub/linux/utils/boot/dracut/dracut.html#_crypto_luks_key_on_removable_device_support

Mais dans le cas d’un initramfs avec systemd (comme c’est le cas avec Centos 8), cette fonctionnalité n’est pas implémentée. Voir le code source de systemd pour cryptsetup:
https://github.com/systemd/systemd/blob/master/src/cryptsetup/cryptsetup.c

La partition /keydisk sera montée directement dans l’initramfs au boot.
La documentation à venir.

source
centos 8