systemd-cryptenroll.md 2.2 KB
systemd-cryptenroll
LUKS2로 암호화된 장치를 잠금 해제하는 데 사용되는 방법을 대화식으로 등록하거나 제거합니다. 별도로 지정하지 않으면 암호를 사용하여 장치를 잠금 해제합니다. 시스템 부팅 시 파티션을 잠금 해제하려면
/etc/crypttab파일이나 initramfs를 업데이트해야 합니다. 더 많은 정보: https://www.freedesktop.org/software/systemd/man/systemd-cryptenroll.html.
- 새 비밀번호 등록 (
cryptsetup luksAddKey와 유사):
systemd-cryptenroll --password {{경로/대상/luks2_블록_장치}}
- 새 복구 키 등록 (즉, 대체로 사용할 수 있는 무작위 생성 암호):
systemd-cryptenroll --recovery-key {{경로/대상/luks2_블록_장치}}
- 사용 가능한 토큰 목록 나열 또는 새 PKCS#11 토큰 등록:
systemd-cryptenroll --pkcs11-token-uri {{list|auto|pkcs11_토큰_uri}} {{경로/대상/luks2_블록_장치}}
- 사용 가능한 FIDO2 장치 목록 나열 또는 새 FIDO2 장치 등록 (
auto는 토큰이 하나만 연결되어 있을 때 장치 이름으로 사용 가능):
systemd-cryptenroll --fido2-device {{list|auto|경로/대상/fido2_hidraw_장치}} {{경로/대상/luks2_블록_장치}}
- 사용자 인증(생체 인식)과 함께 새 FIDO2 장치 등록:
systemd-cryptenroll --fido2-device {{auto|경로/대상/fido2_hidraw_장치}} --fido2-with-user-verification yes {{경로/대상/luks2_블록_장치}}
- FIDO2 장치를 사용하여 잠금 해제하고 새 FIDO2 장치 등록:
systemd-cryptenroll --unlock-fido2-device {{경로/대상/fido2_hidraw_잠금_해제_장치}} --fido2-device {{경로/대상/fido2_hidraw_등록_장치}} {{경로/대상/luks2_블록_장치}}
- TPM2 보안 칩 등록 (보안 부팅 정책 PCR만) 및 추가적인 영문자 PIN 필요:
systemd-cryptenroll --tpm2-device {{auto|경로/대상/tpm2_블록_장치}} --tpm2-with-pin yes {{경로/대상/luks2_블록_장치}}
- 모든 빈 비밀번호/모든 비밀번호/모든 FIDO2 장치/모든 PKCS#11 토큰/모든 TPM2 보안 칩/모든 복구 키/모든 방법 제거:
systemd-cryptenroll --wipe-slot {{empty|password|fido2|pkcs#11|tpm2|recovery|all}} {{경로/대상/luks2_블록_장치}}