GELI / ELI no FreeBSD - mudando a senha

Você usa geli setkey . Para mudar de uma frase + chave existente para uma nova frase + chave, você precisa especificar o par antigo e o novo, assim:

$ geli setkey -v -k /boot/old.key -K /boot/new.key /dev/md9
Enter passphrase: oldphrase
Enter new passphrase: newphrase
Reenter new passphrase: newphrase
Decrypted Master Key 0.
Note, that the master key encrypted with old keys and/or passphrase may still exists in a metadata backup file.
Done.

Se a sua chave antiga não tiver frase de acesso, adicione -p e, se quiser que a nova chave fique sem uma senha, adicione -P . Você não precisa separar primeiro e certamente não precisa copiar todos os seus dados. Mantenha um backup de seus metadados para sua tranquilidade e não se esqueça de atualizá-lo depois de alterar as chaves / senhas.

Importante: Se você estiver usando a entrada de senha de boottime (para partições raiz criptografadas) e estiver mudando de uma chave + frase para chave sem senha ( -P acima), você também deve desativar o boottime prompt de frase com geli configure -B . Além disso, se você alterou os locais do arquivo-chave, precisará editar /boot/loader.conf para apontar para o novo arquivo-chave.

Alguém tentou, mas falhou. Não lembro quem, mas foi há 2 anos atrás. Se você quer estar seguro, faça a cópia e reinicie.

Acabei de ler isso em um resultado de pesquisa do Google morto (o google ddnt tem em cache, mas o trecho ainda é mostrado):

geli detach /dev/md9

e depois

geli setkey ...

Mas não garanto que tudo ficará bem.

Este também parece ser o caminho para mudar de senha para arquivos de chave.