LUKS - mudando a senha com / dev / mapper / fedora-root

Navegue suas respostas
1

Eu gostaria de alterar minha senha no LUKS, então comecei a digitar mount | grep 'on / ' . O resultado foi /dev/mapper/fedora-root on / type ext4 (rw,relatime,seclabel,data=ordered) . Então, como sempre, eu digitei sudo cryptsetup status fedora-root para obter informações sobre a partição. Mas infelizmente não obtive resultado e a operação retornou 1. sudo cryptsetup --verbose status fedora-root says Command failed with code 22: Invalid argument . Por que o comportamento é tão estranho? Qual é a maneira de alterar a senha do LUKS nesse caso?

    
por pt12lol 15.01.2014 / 21:08

2 respostas

0

Mudar a senha em um volume criptografado do LUKS é felizmente bastante simples.

A solução mais simples é a seguinte: 

sudo cryptsetup luksChangeKey /dev/base-device

Ele solicitará a senha antiga e, em seguida, a nova.

Se você tiver mais de uma partição criptografada LUKS e quiser inserir sua senha apenas uma vez na inicialização, lembre-se de alterar a senha das outras unidades criptografadas LUKS para que sejam as mesmas que você está alterando agora.

Existem alguns casos de borda dos quais você deve estar ciente. A primeira é que pode haver um erro ao substituir o slot pela nova frase secreta. Como a possibilidade de perda total de dados nesse empreendimento é diferente de zero, faça um backup completo da unidade antes de iniciar essa operação. Se for um laptop, verifique se a bateria está totalmente carregada por precaução. Se é um desktop, provavelmente vale a pena ter um UPS conectado.

Como alternativa, se o seu binário cryptsetup não tiver a opção changeKey, você poderá fazê-lo em 2 etapas: 

sudo cryptsetup luksAddKey /dev/base-device
sudo cryptsetup luksRemoveKey /dev/base-device

A ressalva com essa abordagem é que a operação luksAddKey pode falhar se você já tiver o máximo de 8 slots de chave já usados. Isso é improvável, mas esteja ciente disso.

Eu mesmo tive que fazer essa tarefa recentemente e achei os seguintes recursos úteis:

link link

    
por 08.03.2018 / 06:47
0

Como o comentário de frostschutz sugeriu, há vários contêineres dentro um do outro e você precisará apontar o comando cryptsetup para o caminho certo.

  • O mais externo é o disco (provavelmente /dev/sda ). Como este é um disco do sistema, é muito provável que seja particionado.
  • A próxima camada é a partição ( /dev/sda[1-9]* ), que está atuando como o contêiner do volume criptografado.
  • Em seguida, há o dispositivo cryptsetup (o nome pode ser /dev/mapper/* , mas geralmente pode ser nomeado como /dev/mapper/sd[a-z][1-9]*_crypt correspondente ao nome do dispositivo de partição). Aparece quando a senha de criptografia é inserida e fornece acesso aos dados dentro da criptografia. Neste caso, este dispositivo é inicializado como um volume físico (PV) do LVM.
  • Esse PV faz parte do grupo de volumes LVM (VG) fedora . Não possui dispositivo próprio: o VG existe apenas como um objeto LVM.
  • Dentro do VG, há pelo menos um volume lógico (LV): /dev/mapper/fedora-root . Baseado no nome, aparentemente contém o sistema de arquivos raiz.

Você precisa do dispositivo cryptsetup para o seu comando, não do dispositivo LVM LV.

Se /etc/crypttab existir e não estiver vazio, observe a primeira palavra de cada linha sem comentário: cada linha sem comentário define um dispositivo cryptsetup e a primeira palavra nessa linha é a última parte do nome do dispositivo cryptsetup .

Assim como você não pode acessar a tabela de partição de um disco usando o dispositivo de partição /dev/sda1 , não é possível acessar os metadados de criptografia do LUKS acessando o dispositivo LVM LV dentro do volume criptografado.

    
por 08.03.2018 / 08:54

Tags

Removendo o disco com falha do ataque 1 A instalação do Wireshark ou do MC quer remover o gnome e mais