LUKS - zmień plik klucza przy użyciu cryptsetup

0

cryptsetupNarzędzie zapewnia opcję zmiany istniejącego hasła za pomocą luksChangeKeyopcji. Wymaga to starszego pliku klucza i innych parametrów sugerowanych na stronie man.

  luksChangeKey <device> [<new key file>]

          Changes  an  existing  passphrase. The passphrase to be changed must be supplied interactively or via
          --key-file.  The new passphrase can be supplied interactively or in a file given as positional  argu‐
          ment.

          If  a  key-slot is specified (via --key-slot), the passphrase for that key-slot must be given and the
          new passphrase will overwrite the specified key-slot. If no key-slot is specified and there is  still
          a  free  key-slot,  then the new passphrase will be put into a free key-slot before the key-slot con‐
          taining the old passphrase is purged. If there is no free key-slot, then the key-slot  with  the  old
          passphrase is overwritten directly.

          WARNING:  If a key-slot is overwritten, a media failure during this operation can cause the overwrite
          to fail after the old passphrase has been wiped and make the LUKS container inaccessible.

          <options> can be  [--key-file,  --keyfile-offset,  --keyfile-size,  --new-keyfile-offset,  --new-key‐
          file-size, --key-slot, --force-password, --header].

Po uruchomieniu wyświetla monit o podanie hasła . Ale muszę użyć innego pliku klucza .

Gdzie jest opcja udostępnienia nowego pliku klucza? Ze strony podręcznika mogę zrozumieć,

  • --keyfile: starszy plik klucza
  • --keyfile-offset: przesunięcie starszego pliku klucza
  • --keyfile-size: przesunięcie starszego pliku klucza
  • --new-keyfile-offset: nowy offset pliku klucza
  • --new-key‐file-size: nowy rozmiar pliku klucza

Wiem, że istnieje inny sposób zmiany hasła za pomocą luksAddKey (nowy klucz), a następnie luksRemoveKey (poprzedni). Ale pytam konkretnie o luksChangeKey .

użytkownik2255299
źródło
Wydaje się, że pierwsza linia twojego cytatu zawiera odpowiedź.
grawity

Odpowiedzi:

2

Nie mam pojęcia, dlaczego @studiohack przegłosował / usunął moją odpowiedź (i nie mam pojęcia, jak wysłać tutaj bezpośrednią komunikację, a superuser.com nie płaci mi, więc mój czas tutaj jest ograniczony).

Ale ODPOWIEDŹ miała / ma rację - tylko z powiadomieniem, że NIE MOŻE DZIAŁAĆ dla rzeczywistej wersji cryptsetup 1.7.3:

I jest niezależny, jeśli użyję komendy luksAddKey LUB luksChangeKey - parametry WORKS SAME SPOSÓB:

Działa dobrze na przykład z tym przykładem z Debian Jessie przy użyciu cryptsetup 1.6.6 (nie znałem już referencji, którą znalazłem w zeszłym roku):

echo -n "yyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyyxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx" | \
cryptsetup luksAddKey --key-file - --keyfile-offset 0 --keyfile-size 32 \
                      --new-keyfile-offset 32 --key-slot 0 /dev/sda2
  • plik klucza: - (STDIN)
  • za pomocą klucza: rrrrrrrrrrrrrrrrrrrrrrrr (rozmiar 32 bajtów od przesunięcia bajtu 0)
  • dodawanie klucza: xxxxxxxxxxxxxxxxxxxxxxxxxxxxxxxx (rozmiar 32 bajtów od przesunięcia bajtu 32)

Ale wydaje się, że nie działa już z Debianem Stretch za pomocą cryptsetup 1.7.3 (a reszta informacji NIE była PYTANIEM, ale stwierdzeniem faktycznego zachowania).

Reiner030
źródło