Como forçar a alteração da senha do LUKS a cada 90 dias?

Não há muito sentido em fazer isso. Normalmente, o objetivo de mudar as senhas regularmente é que, se alguém aprendeu sua senha, você limitará o tempo de uso dela. Mas uma senha LUKS é usada para descriptografar a chave mestra do volume LUKS, aquela que realmente é usada para criptografar os dados, então se alguém aprender sua senha, eles podem usá-la para obter aquela chave mestra. Alterar sua senha não altera a chave mestra - lembre-se, é a chave usada para realmente criptografar os dados; mudá-lo exigiria criptografar novamente a unidade inteira - para que você não esteja privando o invasor do acesso à unidade.

(Nota: isso pressupõe um atacante tecnicamente sofisticado, alguém capaz de localizar ou escrever um programa para desbloquear um volume LUKS usando a chave mestra diretamente, em vez de uma frase secreta de chave de linha. Mudar senhas pode ajudar alguém que saiba apenas interagir com o prompt de senha LUKS normal - mas contra alguém assim, você provavelmente não precisa de criptografia de disco.)

AFAIK não há ferramentas para isso. Você precisa salvar os dados (do cabeçalho da partição LUKS) e comparar as senhas criptografadas (deve haver 8) para garantir que elas sejam alteradas (um usuário inteligente pode alterar a senha e adicionar a senha antiga em um dos diferentes tipos de senha). slots).

Uma boa política é manter as senhas criptografadas antigas para que você possa verificar se alguém usa a senha A e a senha B.