id: Гость   вход   регистрация
текущее время 08:52 29/03/2024
Автор темы: Гость, тема открыта 24/04/2009 13:18 Печать
Категории: инфобезопасность, защита дисков
создать
просмотр
ссылки

dm-crypt смена пароля


При установке Debian 5 всё, кроме /boot, было зашифровано dm-crypt. Возникла необходимость сменить пароль. Как это сделать?


 
На страницу: 1, 2 След.
Комментарии
— Гость (30/11/2013 19:07)   <#>
Спасибо.
cryptsetup luksAddKey /dev/раздел
cryptsetup luksDelKey /dev/раздел 1


а почему в этом примере при удалении указаны разные разделы? "1" – это опечатка?
— Гость (30/11/2013 21:09)   <#>
1 — это номер слота. Всего есть 8 слотов (0-7), из которых обычно используется только часть, и, чаще всего, если вы не делалили никаких манипуляций, то только один — с нулевым номером. Вывод команды
# cryptsetup luksDump /dev/раздел
показывает, что к чему, выполните её. Как правило, 1 — первый свободный слот после занятого (т.е. нулевого), поэтому указано 1.
— Гость (14/02/2014 11:05)   <#>

Делаю по рекомендации:
# cryptsetup luksAddKey <device>
Убеждаюсь, что теперь обе пассфразы работают, и старая и новая:
# cryptsetup luksOpen <device> name
luksDump показывает, что заняты 2 слота, т.е. всё как положено. Завершающий этап, стираем старую пассфразу:
# cryptsetup luksKillSlot <device> 0
Команда просит ввести any passphrase (т.е. должна работать и старая и новая пассфразы), однако затереть старой пассфразой нельзя, она её не примнимает. Новой пассфразой затирается успешно. Почему так? Ведь по легенеде ввод какой-то пассфразы для luksKillSlot — не более, чем защита от дурака.

P.S.
$ cryptsetup --version
cryptsetup 1.4.3
— SATtva (14/02/2014 11:29)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118
Вероятно, логика та же: защита от дурака надо убедиться, что пользователь знает какую-нибудь пассфразу, помимо удаляемой.
— Гость (23/02/2014 04:24)   <#>

Шифрпанк во всей красе А что, трудно было об этом написать в информационном сообщении, сопутствующем запросу пассфразы? Если понимать вопроc так, как он задан, то LUKS лжёт: написано «любая», а «любая» не работает. Только не надо писать про багрепорты.
— SATtva (23/02/2014 09:42)   профиль/связь   <#>
комментариев: 11558   документов: 1036   редакций: 4118

Okayface.jpg
— Гость (24/02/2014 20:32)   <#>
# cryptsetup luksAddKey /dev/раздел
Enter any passphrase:
<123>
No key availabe with this passphrase
Any — это любая (например та, которую я хочу добавить), а старые, уже существующие, было бы более уместно назвать any valid, что точнее намекает на суть.
— Гость (03/03/2014 05:41)   <#>

Должен сказать, что требование очень логичное, а то так можно создать дополнительную пассфразу, забыть её, продолжив использовать старую, а потом по ошибке грохнуть не тот слот. Когда убивается слот по номеру, вообще неясно, какой пассфразе он соответствует, если вы не отслеживали историю появления слотов, а так хоть какая-то защита есть...

P.S. После такой логики LUKS трудно привыкнуть к тому, что вводить старую пассфразу для смены пароля рута вообще не надо.
— Гость (13/05/2014 10:37)   <#>

Если заголовок LUKS-тома случайно попадает на bad-блоки на диске, то что будет? Пароли съедятся, информация запишется, но потом её будет не расшифровать. По-моему, у меня сейчас уже второй раз такой глюк происходит с одним и тем же LUKS-разделом.
— unknown (13/05/2014 11:09)   профиль/связь   <#>
комментариев: 9796   документов: 488   редакций: 5664
Разработчики вроде планировали дать возможность и на ёлку залезть, и ничего при этом не ободрать: заголовок хотели делать и в начале, и в конце шифротома с функцией аварийного восстановления. Но в своей версии ничего такого пока не видел.
— Гость (29/05/2014 07:22)   <#>
Перефразируя известное правило, можно сказать, что «люди делятся на 2 типа: тех, которые делают бэкапы LUKS-хидеров и и тех, у кого не было в них bad-блоков».

К одному разделу сколько ни вводил пароль, он не подходил. Перезагрузился, попробовал в другой день — подошёл. Стёр пот с лица. К другому разделу (для него бэкапы уже были) как ни вводил пароль, всё не получалось. И раздел такой, что редко монтируется, не должны там быть bad-блоки. В итоге решил попробовать модификации пассфраз и выяснил, что пароль стоял там не тот, какой должен был быть и какой я думал. Тоже открылось. Но с тех пор я бэкаплю хидеры.

Кстати, странно, что LUKS'у нельзя указать внешний хидер параметром. Надо восстаналивать хидер, как я понял, на самом разделе, а потом пробовать его открыть. А что толку, если там bad-блок будет? Он же по сути не сможет в это место что-то записать. Записываться будет одно, а читаться другое.

Вообще, с bad-блоками, наверное, можно побороться брутфорсом, но с учётом того, что там в LUKS стоит соль и много итераций для замедления, перебор тысяч вариантов (допустим, поменялся один-два байта из сотен байт, содержащих хидер) может растянуться на непозволительно длительный срок...
— Гость (10/06/2014 06:34)   <#>

Те, кто знают, что они делают, могут существенно упростить себе жизнь:
# cryptsetup -q luksKillSlot /dev/DEVICE 0
И никаких пассфраз вводить не надо. Для быстрого уничтожения информации такая штука — самое то.
— Гость (07/08/2014 21:28)   <#>

В новых версиях можно — опция --header.
На страницу: 1, 2 След.
Ваша оценка документа [показать результаты]
-3-2-1 0+1+2+3