如何eli
在 FreeBSD 中更改/替换加密提供程序的密码?我是否必须重新创建整个提供程序并复制数据,还是有更简单、更快捷的方法?
我查看了手册页(这让我想到可能存在某种方法可以做到这一点geli init
)并在谷歌上搜索过,但找不到任何明确的答案。
答案1
你用geli setkey
要将现有的关键词 + 短语更改为新关键词 + 短语,您需要指定旧的和新的关键词 + 短语对,如下所示:
$ geli setkey -v -k /boot/old.key -K /boot/new.key /dev/md9
Enter passphrase: oldphrase
Enter new passphrase: newphrase
Reenter new passphrase: newphrase
Decrypted Master Key 0.
Note, that the master key encrypted with old keys and/or passphrase may still exists in a metadata backup file.
Done.
如果您的旧密钥没有密码,请添加-p
,如果您希望新密钥没有密码,请添加-P
。您不需要先分离,当然也不需要复制所有数据。请保留元数据的备份以保证安心,并且不要忘记在更改密钥/密码后更新它。
重要的:如果您正在使用启动时密码输入(用于加密的根分区),并且要从密钥 + 密码更改为无密码的密钥(-P
如上所述),您还必须使用 禁用启动时密码提示geli configure -B
。此外,如果您更改了密钥文件位置,则需要编辑/boot/loader.conf
以指向新的密钥文件。
答案2
有人尝试过,但失败了。不记得是谁,但那是两年前的事了。如果你想要安全,请复制并重新初始化。
我刚刚在一个无效的谷歌搜索结果中读到了这篇文章(谷歌没有缓存它,但摘录仍然显示):
geli detach /dev/md9
进而
geli setkey ...
但我不能保证一切都会好起来。
这似乎也是从密码更改为密钥文件的方法。