dm-crypt смена пароля
При установке Debian 5 всё, кроме /boot, было зашифровано dm-crypt. Возникла необходимость сменить пароль. Как это сделать?
|
||||||||||||||||||||||||||
|
||||||||||||||||||||||||||
Нормы пользования. Некоторые права на материалы сайта защищены по условиям лицензии CreativeCommons. Движок
openSpace 0.8.25a и дизайн сайта © 2006-2007 Vlad "SATtva" Miller.
|
||||||||||||||||||||||||||
комментариев: 9796 документов: 488 редакций: 5664
Там скорее всего будет только один слот с паролем.
Добавьте второй пароль:
Теперь вы можете загружаться с двумя паролями – старым и новым.
Когда вы как следует выучите новый пароль, можете удалить старый пароль из первого слота:
комментариев: 11558 документов: 1036 редакций: 4118
Для подробностей man cryptsetup.
комментариев: 9796 документов: 488 редакций: 5664
комментариев: 9796 документов: 488 редакций: 5664
Принцип такой, что мастер-ключ зашифрован в своих слотах своими паролями. причём зашифрован с дополнительной информацией, с распределением данных по специальному алгоритму "antiforensic information splitter", предназначенным против восстановления информации с винчестеров и носителей с избыточной информацией (типа RAID), так чтобы с каждым нечитаемым/повреждённым/затёртым битом даже при знании пароля восстановить ключ было бы экспоненциально сложнее.
Соответственно удаление данных из слота не требует особо долгого многократного затирания, так как данные сами по себе представлены в "хрупком" виде. Но по этой же причине нежелательно делать копии контейнеров, хранить их в виде отдельных файлов, записывать на болванку. Лучше создать для копии второй контейнер, пусть с таким же паролем, но чтобы ключи в нём сгенерились другие и синхронизировать данные с ним.
комментариев: 1515 документов: 44 редакций: 5786
комментариев: 9796 документов: 488 редакций: 5664
В общем, как написано в man, для удаления старого пароля из слота нужно использовать luksKillSlot, luksDelKey – это тоже самое, но только устаревшее название опции, которым надо отучаться пользоваться.
А вот что такое luksRemoveKey подробно не описано, могу предположить – это чтобы не стирать пароли из всех слотов по одиночке, а убить ключ от контейнера разом.
Экспериментировать со всем этим надо поосторожнее, хотя cryptsetup-LUKS предупреждает, когда остаётся только один единственный последний слот с ключом.
комментариев: 11558 документов: 1036 редакций: 4118
комментариев: 9796 документов: 488 редакций: 5664
Кстати, список крипторазделов после установки, которые поднимаются автоматически, лучше смотреть не в /etc/fstab, а в /etc/cryptab.
Ещё поглядел на /comment45783. Стало ли вам что-то с тех пор понятней?
Что именно делает luksRemoveKey? Фразу (из man) про него можно как угодно понимать.
Точно ли luksClose удаляет ключи из памяти? В man написано, что он и всё. Понимать это можно, как угодно. В интернетах всякое пишут, но стоит ли доверять непонятно чьим разъяснениям в рассылках... Где можно почитать о luksClose в официальной документации?
Зато про luksSuspend написано явно: Чем он отличается от luksClose? Удаляет ключ, но оставляет ассоциацию «дисковый раздел ↔ метка»? В man пишут, что после него можно сделать luksClose, хотя ключи к тому моменту уже могут быть удалены. Или luksClose делает luksSuspend, если ключ в памяти не завайплен, а потом собственно диассоциирует раздел с меткой?
Как связаны между собой эти три команды (luksRemoveKey, luksClose и luksSuspend) — не понятно. C deprecated-опциями всё ясно, но в моём man (версия 1.1.0-rc2) все эти три не отмечены, как deprecated.
комментариев: 11558 документов: 1036 редакций: 4118
https://code.google.com/p/cryptsetup/
комментариев: 11558 документов: 1036 редакций: 4118