Como alterar a senha GELI no sistema FreeBSD 11 Root-On-ZFS com mirror RAID?

Question

Como alterar a senha GELI no sistema FreeBSD 11 Root-On-ZFS com mirror RAID?

Navegue suas respostas

#1 resposta do (1 votos)

3

Como mudar a senha GELI no sistema FreeBSD 11 Root-On-ZFS com mirror RAID?

Os dispositivos de troca também são espelhados e criptografados.

Eu tenho dispositivos /dev/ada0p5.eli /dev/ada1p5.eli e /dev/mirror/swap.eli.

Obrigado.

passphrase encryption raid zfs freebsd

por Norbert 16.12.2016 / 16:23

1 resposta

Tags passphrase encryption raid zfs freebsd

Por que posso definir a propriedade com icals, mas não com set-acl No 2K12R2? Bug de notificação do Windows 10 - Verificar a proteção contra vírus

score 1 · Answer 1

Em uma instalação especial do FreeBSD 11 com o ZFS em discos criptografados, você pode alterar a chave de criptografia dos seus discos de dados apenas enquanto pega o dispositivo do espelho.

Discos de dados:

Em uma instalação baunilha os dispositivos criptografados são da0p3.eli e da1p3.eli, no seu caso, você terá que repetir o procedimento para os dispositivos que você tem (ada0p5.eli, ada1p5.eli):

$ zpool status
NAME           STATE     READ WRITE CKSUM
tank           ONLINE       0     0     0
  mirror-0     ONLINE       0     0     0
    da0p3.eli  ONLINE       0     0     0
    da1p3.eli  ONLINE       0     0     0

$ zpool offline tank da0p3.eli    # take one drive off the mirror

$ zpool status
NAME                     STATE     READ WRITE CKSUM
tank                     DEGRADED     0     0     0
  mirror-0               DEGRADED     0     0     0
    7324435067442038086  OFFLINE      0     0     0  was /dev/da0p3.eli
    da1p3.eli            ONLINE       0     0     0

$ geli detach da0p3.eli           # detach encryption

$ geli setkey da0p3               # set new encryption pass phrase
Enter passphrase: 
Enter new passphrase: 
Reenter new passphrase: 

$ geli attach da0p3               # reattach with new pass phrase
Enter passphrase: 

$ zpool online tank da0p3.eli     # take the drive online again to the mirror

Agora, aguarde até que a unidade seja resilvered novamente. Isso deve ser rápido se não houver muitas gravações no meio, o conteúdo da unidade não foi alterado, porque a chave mestra ainda é a mesma, apenas sua senha foi alterada:

$ zpool status
NAME           STATE     READ WRITE CKSUM
tank           ONLINE       0     0     0
  mirror-0     ONLINE       0     0     0
    da0p3.eli  ONLINE       0     0     0
    da1p3.eli  ONLINE       0     0     0

Agora que tudo está pronto novamente, você deve aplicar o mesmo procedimento à sua segunda unidade.

Trocar de unidades

Em uma instalação baunilha, uma nova chave aleatória para suas unidades de troca será gerada em cada inicialização novamente e esquecida depois, portanto, não é necessária nenhuma alteração (sua frase secreta não é usada lá).

Perigo!

Por favor, note: Enquanto você tem um disco fora do espelho, é vulnerável a perda de dados quando o disco restante está falhando. Você pode evitar isso adicionando um terceiro disco temporário ao espelho antes de fazer a alteração da chave e removê-lo novamente assim que terminar o procedimento inteiro.