重新启动时,插入 USB 记忆棒后,TPM 将不允许无密码启动服务器。使用插入的 USB HDD 可以无密码启动服务器。
我们的服务器运行 Centos 8.3,Linux 内核版本为 4.18.0-240。TPM2 模块与 LVM 组的 LUKS 版本 1 加密一起使用,该 LVM 组由多个分区组成,包括 / /home 交换等。LUKS 标头插槽 0 用于密码,插槽 1 用于 TPM。
LUKS 标头插槽 1 绑定到 PCR 值 0、1、2 和 3。因此 BIOS (0)、BIOS 配置 (1)、Options ROM (2) 和 Options ROM 配置 (3)。
从我读到的选项 ROM 包含在 POST 启动过程中加载的固件。如果在签署 TPM 时系统状态发生任何更改,TPM 将不允许系统在没有密码的情况下启动。由于 U 盘的固件可能会在启动过程中加载,我最初认为只绑定到 PCR 值 0 和 1,即没有选项 ROM,可以解决问题。这没有用。
任何关于为什么它不能从带有 USB 记忆棒的 TPM 引导的建议将不胜感激。