Você usa geli setkey
. Para mudar de uma frase + chave existente para uma nova frase + chave, você precisa especificar o par antigo e o novo, assim:
$ geli setkey -v -k /boot/old.key -K /boot/new.key /dev/md9
Enter passphrase: oldphrase
Enter new passphrase: newphrase
Reenter new passphrase: newphrase
Decrypted Master Key 0.
Note, that the master key encrypted with old keys and/or passphrase may still exists in a metadata backup file.
Done.
Se a sua chave antiga não tiver frase de acesso, adicione -p
e, se quiser que a nova chave fique sem uma senha, adicione -P
. Você não precisa separar primeiro e certamente não precisa copiar todos os seus dados. Mantenha um backup de seus metadados para sua tranquilidade e não se esqueça de atualizá-lo depois de alterar as chaves / senhas.
Importante: Se você estiver usando a entrada de senha de boottime (para partições raiz criptografadas) e estiver mudando de uma chave + frase para chave sem senha ( -P
acima), você também deve desativar o boottime prompt de frase com geli configure -B
. Além disso, se você alterou os locais do arquivo-chave, precisará editar /boot/loader.conf
para apontar para o novo arquivo-chave.