LUKS - keyFile mit cryptsetup ändern

969
user2255299

cryptsetupDienstprogramm bietet die Option, vorhandene Passphrase mithilfe der Option zu ändern luksChangeKey. Dies erfordert die ältere Schlüsseldatei und andere Parameter, wie auf der Manpage vorgeschlagen.

 luksChangeKey <device> [<new key file>]  Changes an existing passphrase. The passphrase to be changed must be supplied interactively or via --key-file. The new passphrase can be supplied interactively or in a file given as positional argu‐ ment.  If a key-slot is specified (via --key-slot), the passphrase for that key-slot must be given and the new passphrase will overwrite the specified key-slot. If no key-slot is specified and there is still a free key-slot, then the new passphrase will be put into a free key-slot before the key-slot con‐ taining the old passphrase is purged. If there is no free key-slot, then the key-slot with the old passphrase is overwritten directly.  WARNING: If a key-slot is overwritten, a media failure during this operation can cause the overwrite to fail after the old passphrase has been wiped and make the LUKS container inaccessible.  <options> can be [--key-file, --keyfile-offset, --keyfile-size, --new-keyfile-offset, --new-key‐ file-size, --key-slot, --force-password, --header].

Wenn ich es ausführe, werden Sie zur Eingabe der Passphrase aufgefordert . Aber ich muss eine andere Schlüsseldatei verwenden .

Wo gibt es die Möglichkeit, eine neue Schlüsseldatei bereitzustellen? Aus der Manpage kann ich verstehen,

  • --keyfile: ältere Schlüsseldatei
  • --keyfile-offset: älterer Schlüsseldatei-Offset
  • --keyfile-size: älterer Schlüsseldatei-Offset
  • --new-keyfile-offset: Neuer Schlüsseldatei-Offset
  • --new-key‐file-size: neue Schlüsseldateigröße

Ich weiß, dass es eine andere Möglichkeit gibt, die Passphrase zu ändern, indem Sie luksAddKey (neuer Schlüssel) und dann luksRemoveKey (vorheriger) verwenden. Aber ich frage speziell nach luksChangeKey .

0
Die 1. Zeile Ihres Angebots scheint die Antwort zu haben. grawity vor 6 Jahren 0
Ja. Mein Fehler. Vielen Dank. user2255299 vor 6 Jahren 0

1 Antwort auf die Frage

2
Reiner030

Keine Ahnung, warum @studiohack meine Antwort abgelehnt / gelöscht hat (und keine Ahnung, wie hier direkte Kommunikation gesendet wird und ich nicht von superuser.com bezahlt werde, daher ist meine Zeit hier begrenzt).

Aber die ANTWORT war / ist richtig - nur mit der Benachrichtigung, dass sie möglicherweise nicht für die aktuelle Version cryptsetup 1.7.3 funktioniert:

Und es ist unabhängig, wenn ich den Befehl luksAddKey OR luksChangeKey verwende - die Parameter funktionieren auf gleiche Weise:

Es hat z. B. in diesem Beispiel gut funktioniert, wenn Debian Jessie Cryptsetup 1.6.6 verwendet hat (ich wusste nicht mehr, welche Referenz ich letztes Jahr gefunden hatte):

echo -n "yyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx" | \ cryptsetup luksAddKey --key-file - --keyfile-offset 0 --keyfile-size 32 \ --new-keyfile-offset 32 --key-slot 0 /dev/sda2
  • Schlüsseldatei: - (STDIN)
  • Schlüssel verwenden: yyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyy (32 Byte Größe von Byte Offset 0)
  • Schlüssel hinzufügen: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx (32 Byte Größe vom Byte-Offset 32)

Aber es scheint nicht mehr mit Debian Stretch zu funktionieren, das cryptsetup 1.7.3 verwendet (und der Rest der Informationen war KEINE FRAGE, sondern eine Aussage über das tatsächliche Verhalten).

Verwandte Probleme