我尝试更改我的 LUKS 密码。
我使用的来源: https://www.linuxexperten.com/content/how-do-i-change-my-luks-encryption-password-and-more
我有单独的分区用于启动、根、交换和主目录。要确定哪些分区有 Luks:
blkid -t TYPE=crypto_LUKS -o device
/dev/sda5
/dev/sda6
/dev/sda7
然后检查sda5占用了多少个槽位。
$ sudo cryptsetup luksDump /dev/sda5 |grep Key.Slot
Key Slot 0: ENABLED
Key Slot 1: DISABLED
Key Slot 2: DISABLED
Key Slot 3: DISABLED
Key Slot 4: DISABLED
Key Slot 5: DISABLED
Key Slot 6: DISABLED
Key Slot 7: DISABLED
显然 root 可以使用主密钥来添加新密钥:
$ sudo dmsetup ls --target crypt
swapfs (254, 2)
rootfs (254, 0)
homefs (254, 1)
但后来我说让我检查一下其他分区 sda6 和 7,看看有多少个插槽被占用。有两个已经被占用 更改密码之前。
$ sudo cryptsetup luksDump /dev/sda6 |grep Key.Slot
Key Slot 0: ENABLED
Key Slot 1: ENABLED
Key Slot 2: DISABLED
Key Slot 3: DISABLED
Key Slot 4: DISABLED
Key Slot 5: DISABLED
Key Slot 6: DISABLED
Key Slot 7: DISABLED
$ sudo cryptsetup luksDump /dev/sda7 |grep Key.Slot
Key Slot 0: ENABLED
Key Slot 1: ENABLED
Key Slot 2: DISABLED
Key Slot 3: DISABLED
Key Slot 4: DISABLED
Key Slot 5: DISABLED
Key Slot 6: DISABLED
Key Slot 7: DISABLED
我知道所有三个分区都有相同的密码。我没有 LUKS 的任何其他密码。这是否意味着“其他人有权访问”到另外两个分区?
答案1
启动时需要输入多少次密码?如果只有一次,则可能会使用其中一个插槽来“链接”加密:
- 您输入密码/短语来解锁分区 A
- 分区 A 有一个文件,其中包含分区 B 和 C 的随机生成的长密码(密钥)。
- 使用分区 A 的密码自动解锁分区 B 和 C。
您可能会在 中看到这方面的证据/etc/crypttab,其中会显示密钥文件的位置。
PS:如果有人想秘密访问您的加密数据,并且有足够的访问权限可以安装另一个密钥,他们只需获取主密钥的副本即可。这不会留下任何证据,并且无论密码如何更改都允许解密。解决这个问题的唯一方法是重新加密整个分区。 (简而言之,LUKS 的工作原理是使用密码来加密主密钥。然后使用主密钥来加密分区。这就是为什么您可以更改密码而无需重新加密整个驱动器。)