FreeBSD 上的 GELI / ELI - 更改密码

FreeBSD 上的 GELI / ELI - 更改密码

如何eli在 FreeBSD 中更改/替换加密提供程序的密码?我是否必须重新创建整个提供程序并复制数据,还是有更简单、更快捷的方法?

我查看了手册页(这让我想到可能存在某种方法可以做到这一点geli init)并在谷歌上搜索过,但找不到任何明确的答案。

答案1

你用geli setkey要将现有的关键词 + 短语更改为新关键词 + 短语,您需要指定旧的和新的关键词 + 短语对,如下所示:

$ geli setkey -v -k /boot/old.key -K /boot/new.key /dev/md9
Enter passphrase: oldphrase
Enter new passphrase: newphrase
Reenter new passphrase: newphrase
Decrypted Master Key 0.
Note, that the master key encrypted with old keys and/or passphrase may still exists in a metadata backup file.
Done.

如果您的旧密钥没有密码,请添加-p,如果您希望新密钥没有密码,请添加-P。您不需要先分离,当然也不需要复制所有数据。请保留元数据的备份以保证安心,并且不要忘记在更改密钥/密码后更新它。

重要的:如果您正在使用启动时密码输入(用于加密的根分区),并且要从密钥 + 密码更改为无密码的密钥(-P如上所述),您还必须使用 禁用启动时密码提示geli configure -B。此外,如果您更改了密钥文件位置,则需要编辑/boot/loader.conf以指向新的密钥文件。

答案2

有人尝试过,但失败了。不记得是谁,但那是两年前的事了。如果你想要安全,请复制并重新初始化。

我刚刚在一个无效的谷歌搜索结果中读到了这篇文章(谷歌没有缓存它,但摘录仍然显示):

geli detach /dev/md9

进而

geli setkey ...

但我不能保证一切都会好起来。

这似乎也是从密码更改为密钥文件的方法。

相关内容