在 CentOS 6.4 中更改磁盘加密密钥

tag-icon tag-icon centos6.4 disk-encryption
在 CentOS 6.4 中更改磁盘加密密钥

我在 CentOS 6 安装期间选中了 Anaconda 安装程序中的“加密”复选框,它在 PV(物理卷)分区级别进行加密。

现在,出于某些安全原因,我想更改当前的加密密钥。有什么办法吗?

答案1

默认加密方法使用卢克斯,因此发出:

# cryptsetup luksDump /dev/sda
LUKS header information for /dev/sda2

Version:        1
Cipher name:    aes
Cipher mode:    xts-plain64
Hash spec:      sha1
Payload offset: 4096
MK bits:        512
MK digest:      ec 80 b6 a6 f4 b6 23 29 d6 22 53 2c af c6 a6 06 01 ca 7c 34
MK salt:        97 4c c5 fe 39 e5 ec f7 3c 7a a5 bd 98 34 56 b4
                0d c4 cc c2 ab 74 fa 5c bd d3 0f e3 ae 65 c3 d7
MK iterations:  59625
UUID:           d8bfb76f-fec3-4d6e-8801-5ab24517c081

Key Slot 0: ENABLED
        Iterations:             238801
        Salt:                   42 37 13 4d 6f d5 eb e6 10 dc 78 c8 04 f9 10 74
                                48 15 4d e0 68 d5 dc 7f 6a 14 66 a2 88 83 4f 17
        Key material offset:    8
        AF stripes:             4000
Key Slot 1: DISABLED
Key Slot 2: DISABLED
Key Slot 3: DISABLED
Key Slot 4: DISABLED
Key Slot 5: DISABLED
Key Slot 6: DISABLED
Key Slot 7: DISABLED

查看您当前正在使用多少个插槽。 替换/dev/sda为适当的块设备。

使用将新密钥添加到空闲插槽cryptsetup luksAddKey,检查可能的选项cryptsetup(8)手册页。

之后,重新启动并确保您可以使用新密钥访问机器。然后您可以删除旧密钥(cryptsetup luksRemoveKey)。

相关内容