我正在使用 Ubuntu 15.10,并使用安装期间显示的默认分区工具加密了我的分区。现在我想能够将我的笔记本电脑交给其他人,而不必解密我的驱动器,也不必给他我的密码。我已经为他设置了第二个用户,但他甚至无法登录,因为他无法加密驱动器。那么,是否有可能拥有 2 个加密密钥?
答案1
是的,LUKS 支持多个键槽(LUKS v1 支持 8 个,LUKS v2 版本为 32) 都可以解锁万能钥匙。
cryptsetup请参阅有关如何管理 LUKS 键槽的手册页。例如,如果您的 LUKS 分区是 /dev/sda2,则:
sudo cryptsetup luksAddKey /dev/sda2
在此过程中,还请考虑提供一个--iter-time N(N时间以毫秒为单位)选项,以降低暴力破解密钥槽的风险。例如,2 秒的哈希时间:
sudo cryptsetup --iter-time 2000 luksAddKey /dev/sda2
列出您当前的密钥槽:
sudo cryptsetup luksDump /dev/sda2
首先添加一个新的键槽也是我建议的改变当前密码。首先按照上述说明添加新密码,重新启动,验证新密码是否有效(您永远不知道键盘布局是否不匹配等),然后删除旧键槽。
sudo cryptsetup luksRemoveKey /dev/sda2
然后会要求您提供要删除的密码。
如果您想删除密钥槽而不提供当前密码,您可以使用luksKillSlot,但要小心操作并确保提供正确的槽 ID。