dm-crypt смена пароля

посмотрите все разделы и тома, прописаные в fstab, которые зашифрованы с помощью dm-crypt LUKS с помощью luksDump:

cryptsetup luksDump <device>

Там скорее всего будет только один слот с паролем.

Добавьте второй пароль:

cryptsetup luksAddKey <device>

Теперь вы можете загружаться с двумя паролями – старым и новым.

Когда вы как следует выучите новый пароль, можете удалить старый пароль из первого слота:

cryptsetup luksDelKey <key slot number>

Добавьте во второй слот новый пароль, а первый слот удалите:

cryptsetup luksAddKey /dev/раздел cryptsetup luksDelKey /dev/раздел 1

Для подробностей man cryptsetup.

Точно, в примере при удалении слота с паролем я забыл указать раздел перед ним

Спасибо за помощь. А как работает luksDelKey? В смысле как затирает ключ? И чем отличается от luksRemoveKey и luksKillSlot?

в последней версии вроде бы хотели отказаться от luksRemoveKey и luksKillSlot, сделав так, чтобы luksDelKey затирал слот по умолчанию.

Принцип такой, что мастер-ключ зашифрован в своих слотах своими паролями. причём зашифрован с дополнительной информацией, с распределением данных по специальному алгоритму "antiforensic information splitter", предназначенным против восстановления информации с винчестеров и носителей с избыточной информацией (типа RAID), так чтобы с каждым нечитаемым/повреждённым/затёртым битом даже при знании пароля восстановить ключ было бы экспоненциально сложнее.

Соответственно удаление данных из слота не требует особо долгого многократного затирания, так как данные сами по себе представлены в "хрупком" виде. Но по этой же причине нежелательно делать копии контейнеров, хранить их в виде отдельных файлов, записывать на болванку. Лучше создать для копии второй контейнер, пусть с таким же паролем, но чтобы ключи в нём сгенерились другие и синхронизировать данные с ним.

Вот это – хороший топик, правильный. Мне нравится. А то развели тут соплей с PGP Holy Disk на весь форум...

luksRemoveKey <device> [<key file>] remove supplied key or key file from LUKS device luksKillSlot <device> <key slot number> wipe key with number <key slot> from LUKS device. A remaining passphrase or key file (via --key-file) must be supplied. <options> can be [--key-file]. luksDelKey <device> <key slot number> identical to luksKillSlot, but deprecated action name.

В общем, как написано в man, для удаления старого пароля из слота нужно использовать luksKillSlot, luksDelKey – это тоже самое, но только устаревшее название опции, которым надо отучаться пользоваться.
А вот что такое luksRemoveKey подробно не описано, могу предположить – это чтобы не стирать пароли из всех слотов по одиночке, а убить ключ от контейнера разом.

Экспериментировать со всем этим надо поосторожнее, хотя cryptsetup-LUKS предупреждает, когда остаётся только один единственный последний слот с ключом.

Занятно, в моей Генте man cryptsetup содержит только luksDelKey. Версия актуальная — 1.0.6.

Не знаю, как там в вашей Генте, а вот в Debian Lenny тот же cryptsetup 1.0.6 наверное какой-то особенный и ман и cryptsetup --help пишут одно и тоже. наверное дебиановцы опять всё пропатчили по своему, так же как когда-то OpenSSL.

Кстати, список крипторазделов после установки, которые поднимаются автоматически, лучше смотреть не в /etc/fstab, а в /etc/cryptab.

Ещё поглядел на /comment45783. Стало ли вам что-то с тех пор понятней?
Что именно делает luksRemoveKey? Фразу (из man) про него

remove supplied key or key file from LUKS device

можно как угодно понимать.

Точно ли luksClose удаляет ключи из памяти? В man написано, что он

removes an existing mapping <name>

и всё. Понимать это можно, как угодно. В интернетах всякое пишут, но стоит ли доверять непонятно чьим разъяснениям в рассылках... Где можно почитать о luksClose в официальной документации?

Зато про luksSuspend написано явно:

wipes encryption key from kernel

Чем он отличается от luksClose? Удаляет ключ, но оставляет ассоциацию «дисковый раздел ↔ метка»? В man пишут, что после него можно сделать luksClose, хотя ключи к тому моменту уже могут быть удалены. Или luksClose делает luksSuspend, если ключ в памяти не завайплен, а потом собственно диассоциирует раздел с меткой?

Как связаны между собой эти три команды (luksRemoveKey, luksClose и luksSuspend) — не понятно. C deprecated-опциями всё ясно, но в моём man (версия 1.1.0-rc2) все эти три не отмечены, как deprecated.

Точно ли luksClose удаляет ключи из памяти?

. luksClose <name> identical to remove. remove <name> Removes the existing mapping <name> and wipes the key from kernel memory.

Где можно почитать о luksClose в официальной документации?

https://code.google.com/p/cryptsetup/

В моей версии фразы «wipes the key from kernel memory» нету:

remove <name> removes an existing mapping <name>. No options.

Обновите версию. Или читайте исходники.

при установке debian диск был полностью зашифрован, а /boot размещен на другом носителе. теперь вопрос: слот с паролем находится на зашифрованном диске? ибо dev нужно правильно указать.

Cлот с паролем находится в заголовке шифрованного раздела, /boot тут ни при чём, он только указывает, откуда грузиться и с какими опциями.