GELI / ELI no FreeBSD - mudando a senha

1

Como posso alterar / substituir a senha de um provedor eli criptografado no FreeBSD? Tenho que recriar todo o provedor e copiar dados, ou existe uma maneira mais simples e rápida?

Eu procurei nas man pages (o que me leva a pensar que pode haver alguma maneira de fazer isso através de geli init ) e pesquisei no Google, mas não consigo encontrar uma resposta definitiva.

    
por poplitea 09.10.2011 / 00:05

2 respostas

2

Você usa geli setkey . Para mudar de uma frase + chave existente para uma nova frase + chave, você precisa especificar o par antigo e o novo, assim:

$ geli setkey -v -k /boot/old.key -K /boot/new.key /dev/md9
Enter passphrase: oldphrase
Enter new passphrase: newphrase
Reenter new passphrase: newphrase
Decrypted Master Key 0.
Note, that the master key encrypted with old keys and/or passphrase may still exists in a metadata backup file.
Done.

Se a sua chave antiga não tiver frase de acesso, adicione -p e, se quiser que a nova chave fique sem uma senha, adicione -P . Você não precisa separar primeiro e certamente não precisa copiar todos os seus dados. Mantenha um backup de seus metadados para sua tranquilidade e não se esqueça de atualizá-lo depois de alterar as chaves / senhas.

Importante: Se você estiver usando a entrada de senha de boottime (para partições raiz criptografadas) e estiver mudando de uma chave + frase para chave sem senha ( -P acima), você também deve desativar o boottime prompt de frase com geli configure -B . Além disso, se você alterou os locais do arquivo-chave, precisará editar /boot/loader.conf para apontar para o novo arquivo-chave.

    
por 08.07.2014 / 04:23
1

Alguém tentou, mas falhou. Não lembro quem, mas foi há 2 anos atrás. Se você quer estar seguro, faça a cópia e reinicie.

Acabei de ler isso em um resultado de pesquisa do Google morto (o google ddnt tem em cache, mas o trecho ainda é mostrado):

geli detach /dev/md9

e depois

geli setkey ...

Mas não garanto que tudo ficará bem.

Este também parece ser o caminho para mudar de senha para arquivos de chave.

    
por 09.10.2011 / 02:50