Atualizações de versão do kernel fazem com que o desbloqueio automático seja interrompido. Configurei meu Ubuntu 22.04 para atualização automática semanal com atualizações autônomas. Em atualizações de kernel mais recentes, por exemplo:
│ Newer kernel available
│
│ The currently running kernel version is 5.15.0-118-generic which is not the expected kernel version 5.15.0-119-generic.
│
│ Restarting the system to load the new kernel will not be handled automatically, so you should consider rebooting.
desbloqueio automático não funciona. O problema parece ser que as atualizações do kernel forçam uma reinicialização para aplicar atualizações, mas não podem ser concluídas sem digitar manualmente a senha de criptografia do disco. Depois de reinicializado, tenho que redefinir a criptografia do disco executando primeiro:
sudo clevis luks unbind -d <partition> -s <SLOT_NUMBER>
e, em seguida, fazer a redefinição da configuração do crypt executando:
clevis luks bind -d <partition> tpm2 { "pcr_bank":"sha256", "pcr_ids": "<pcr_ids>" }'
e update-initramfs -u -k 'all'
. Não parece importar se geramos uma imagem de inicialização com update-initramfs
antes da reinicialização ou não. Se eu executar, clevis luks list -d <partition>
posso ver que a saída está correta. A busca por esse problema não resultou em nenhum resultado. Há alguma configuração que eu esteja perdendo ou alguma configuração que eu possa adicionar?
- No Ubuntu 22.04, configure a criptografia de disco com desbloqueio automático.
- Execute
sudo apt update
esudo apt upgrade
para acionar uma atualização da versão do kernel. - Reinício
- Na criptografia do disco de inicialização, a senha é solicitada.
Pacotes instalados:
clevis
clevis-luks
clevis-initramfs
clevis-systemd
clevis-tpm
A causa raiz aqui acabou sendo uma atualização
shim-signed
que exigiu a atualização da criptografia de disco, pois nenhuma solução funcionou comclevis
ousystemd-cryptenroll
. Para atualizações futuras, desativei as atualizações deste pacote até que eu esteja pronto para atualizar comsudo apt mark hold shim-signed
.