LUKS - altera o keyFile usando o cryptsetup

Navegue suas respostas
0
O utilitário

cryptsetup fornece a opção de alterar a senha existente usando a opção luksChangeKey . Isso requer o arquivo-chave mais antigo e outros parâmetros, conforme sugerido na página do manual. 

  luksChangeKey <device> [<new key file>]

          Changes  an  existing  passphrase. The passphrase to be changed must be supplied interactively or via
          --key-file.  The new passphrase can be supplied interactively or in a file given as positional  argu‐
          ment.

          If  a  key-slot is specified (via --key-slot), the passphrase for that key-slot must be given and the
          new passphrase will overwrite the specified key-slot. If no key-slot is specified and there is  still
          a  free  key-slot,  then the new passphrase will be put into a free key-slot before the key-slot con‐
          taining the old passphrase is purged. If there is no free key-slot, then the key-slot  with  the  old
          passphrase is overwritten directly.

          WARNING:  If a key-slot is overwritten, a media failure during this operation can cause the overwrite
          to fail after the old passphrase has been wiped and make the LUKS container inaccessible.

          <options> can be  [--key-file,  --keyfile-offset,  --keyfile-size,  --new-keyfile-offset,  --new-key‐
          file-size, --key-slot, --force-password, --header].

Quando eu o executo, ele solicita a senha longa . Mas eu preciso usar outro arquivo de chave .

Onde está a opção de fornecer novo arquivo de chave? Na página man, eu posso entender,

  • --keyfile : arquivo-chave mais antigo
  • --keyfile-offset : deslocamento de arquivo de chave mais antigo
  • --keyfile-size : deslocamento de arquivo de chave mais antigo
  • --new-keyfile-offset : novo deslocamento de arquivo de chave
  • --new-key‐file-size : novo tamanho do arquivo de chave

Eu sei que há outra maneira de alterar a senha usando luksAddKey (nova chave) e, em seguida, luksRemoveKey (anterior). Mas estou pedindo especificamente por luksChangeKey .

    
por user2255299 28.11.2017 / 10:38

1 resposta

2

Não faço ideia do motivo pelo qual @studiohack rejeitou / suprimiu a minha resposta (e não faço ideia de como foi enviada uma comunicação directa aqui e não sou pago pelo superuser.com, por isso o meu tempo aqui é limitado).

Mas a RESPOSTA estava / está certa - apenas com a notificação de que NÃO PODE FUNCIONAR para a versão real do cryptsetup 1.7.3:

E é independente se eu uso o comando luksAddKey OR luksChangeKey - os parâmetros FUNCIONAM MESMO MANEIRA:

Funcionava bem, por exemplo, este exemplo com o Debian Jessie usando o cryptsetup 1.6.6 (não sabia mais a referência que encontrei no ano passado): 

echo -n "yyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx" | \
cryptsetup luksAddKey --key-file - --keyfile-offset 0 --keyfile-size 32 \
                      --new-keyfile-offset 32 --key-slot 0 /dev/sda2
    Arquivo-chave
  • : - (STDIN)
  • usando a chave: yyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyy (tamanho de 32 bytes do deslocamento de byte 0)
  • chave de adição: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx (tamanho de 32 bytes do deslocamento de byte 32)

Mas parece que não funciona mais com o Debian Stretch usando o cryptsetup 1.7.3 (e o resto da informação não era uma questão, mas uma declaração do comportamento real).

    
por 09.08.2018 / 01:11

Tags

Reduzindo a unidade C para outro sistema operacional Como coexistem os cartões 100Mbit e Gigabit Ethernet?