Debian: Verifique a senha de criptografia de disco para o sistema já montado

Question

Debian: Verifique a senha de criptografia de disco para o sistema já montado

#1 resposta do (4 votos)

2

Estou trabalhando em nosso servidor Debian no qual temos uma unidade Raid criptografada com 2 dispositivos. Eu fiz isso cerca de 1,5 anos atrás e nunca mais reiniciei desde então. Agora, queremos reinicializar por alguns motivos, mas tenho que ter certeza de que a senha que tenho é a correta, ou estaremos presos.

Como podemos verificar a senha de um ataque criptografado? Obrigado.

Detalhes da raid:

mdadm --detail /dev/md0   
/dev/md0:
        Version : 1.2
  Creation Time : Thu Feb 11 14:43:40 2016
     Raid Level : raid1
     Array Size : 1953382336 (1862.89 GiB 2000.26 GB)
  Used Dev Size : 1953382336 (1862.89 GiB 2000.26 GB)
   Raid Devices : 2
  Total Devices : 2
    Persistence : Superblock is persistent

    Update Time : Fri Mar 10 10:37:42 2017
          State : clean 
 Active Devices : 2
Working Devices : 2
 Failed Devices : 0
  Spare Devices : 0

           Name : HOSTNAME:0  (local to host HOSTNAME)
           UUID : 5c450558:44a2b1e9:83cb4361:9c74df8e
         Events : 49

    Number   Major   Minor   RaidDevice State
       0       8        1        0      active sync   /dev/sda1
       1       8       17        1      active sync   /dev/sdb1

Obrigado.

Atualizar

dmsetup table --showkeys
CryptVol: 0 Large_Number crypt aes-cbc-essiv:sha256 RANDOM_TEXT  0 253:0 4096
RaidVG-LVMVol: 0 Large_Number linear 9:0 2048

encryption debian raid mdadm

por We are Borg 10.03.2017 / 10:45

1 resposta

Tags encryption debian raid mdadm

Um substituto adequado para o utilitário 'logname'? [fechadas] Não é possível detectar mais de 16 unidades flash USB

score 4 · Accepted Answer

mdadm não criptografa, então o que você usou? LUKS?

Com o LUKS, você pode apenas ver se cryptsetup luksAddKey /dev/md0 ou similar aceitará sua senha. Caso contrário, se o contêiner ainda estiver aberto, faça um dmsetup table --showkeys que forneça todos os parâmetros e a chave mestra que permite contornar o LUKS ...

Acho que a maneira correta de testar é

cryptsetup --test-passphrase luksOpen /dev/luksdevice

   --test-passphrase
          Do not activate device, just verify passphrase.  This option  is
          only  relevant  for  open action (the device mapping name is not
          mandatory if this option is used).

Mas eu costumo usar apenas luksAddKey ;) quem sabe, talvez você queira adicionar outra senha de backup caso esqueça uma delas. Ou adicione a mesma senha em dois layouts de teclado diferentes (se você não usar o teclado americano por padrão).