我在 CentOS 6 安装期间选中了 Anaconda 安装程序中的“加密”复选框,它在 PV(物理卷)分区级别进行加密。
现在,出于某些安全原因,我想更改当前的加密密钥。有什么办法吗?
答案1
默认加密方法使用卢克斯,因此发出:
# cryptsetup luksDump /dev/sda
LUKS header information for /dev/sda2
Version: 1
Cipher name: aes
Cipher mode: xts-plain64
Hash spec: sha1
Payload offset: 4096
MK bits: 512
MK digest: ec 80 b6 a6 f4 b6 23 29 d6 22 53 2c af c6 a6 06 01 ca 7c 34
MK salt: 97 4c c5 fe 39 e5 ec f7 3c 7a a5 bd 98 34 56 b4
0d c4 cc c2 ab 74 fa 5c bd d3 0f e3 ae 65 c3 d7
MK iterations: 59625
UUID: d8bfb76f-fec3-4d6e-8801-5ab24517c081
Key Slot 0: ENABLED
Iterations: 238801
Salt: 42 37 13 4d 6f d5 eb e6 10 dc 78 c8 04 f9 10 74
48 15 4d e0 68 d5 dc 7f 6a 14 66 a2 88 83 4f 17
Key material offset: 8
AF stripes: 4000
Key Slot 1: DISABLED
Key Slot 2: DISABLED
Key Slot 3: DISABLED
Key Slot 4: DISABLED
Key Slot 5: DISABLED
Key Slot 6: DISABLED
Key Slot 7: DISABLED
查看您当前正在使用多少个插槽。 替换/dev/sda
为适当的块设备。
使用将新密钥添加到空闲插槽cryptsetup luksAddKey
,检查可能的选项cryptsetup(8)
手册页。
之后,重新启动并确保您可以使用新密钥访问机器。然后您可以删除旧密钥(cryptsetup luksRemoveKey
)。