Basierend auf Fedora Silverblue 42 im April 2025.

Prüfen,ob SecureBoot aktiviert ist.

$ sudo mokutil --sb-state
SecureBoot enabled

Falls da nicht enabled steht: im BIOS auf UEFI+SecureBoot Einstellungen prüfen. Ggf. ist SecureBoot im BIOS zwar aktiviert, aber die Verification deaktiviert:

$ sudo mokutil --enable-validation

Braucht dann ein 8 bis 16 Zeichen "Passwort", von welchem man einige Zeichen braucht beim nächsten Reboot. Dort steht dann sowas wie "Zeichen Nr. 7 vom Passwort:". Dann Zeichen drücken + ENTER drücken (das ENTER ist an der Stelle irgendwie nicht so offensichtlich).

In älteren Anleitungen steht noch drin, dass man zusätzliche Dinge aktivieren muss, aber das ist inzwischen nicht mehr nötig. Initramfs regeneration muss nicht mehr aktiviert sein.

$ sudo rpm-ostree initramfs
Initramfs regeneration: disabled

Crypttab erweiterum um die tpm2-device=* Setttings:

$ sudo cat /etc/crypttab
luks-$UID UUID=$UID none discard tpm2-device=auto,tpm2-pcrs=0+1+2+3+4+5+7+9

Passphrase in den TPM2 schreiben:

$ sudo systemd-cryptenroll --wipe-slot tpm2 --tpm2-device auto --tpm2-pcrs "0+1+2+3+4+5+7+9" /dev/nvme0n1p3
🔐 Please enter current passphrase for disk /dev/nvme0n1p3: .... < ... status message ...>

PCR 9 umfasst auch die Initramfs. Wenn die bei einem System-Update ändert, muss der obige Befehl erneut ausgeführt werden.

Links

Use systemd-cryptenroll with FIDO U2F or TPM2 to decrypt your disk (Juni 2023)

Linux Notizen

Fedora Silverblue mit TPM2 + LUKS Auto-Unlock

Links

Beliebte Posts aus diesem Blog

Install Cilium 1.9 with k3s 1.19 on CentOS 8

Gnome Boxes & SSH Portforwarding

HP iLO VSP (Virtual Serial Port) und RHEL7