Neuster Artikel:

Datum

zusätzliches LUKS Passwort setzen

Zuerst prüfen wir den aktuellen Status des mittels LUKS verschlüsselten Datenträger:

root@localhost ~]# lsblk                             
NAME                                          MAJ:MIN RM  SIZE RO TYPE  MOUNTPOINT                                                                                                                                                            
sda                                             8:0    0   50G  0 disk                                                                                                                                                                        
├─sda1                                          8:1    0    1G  0 part  /boot                                                                                                                                                                 
└─sda2                                          8:2    0   49G  0 part                                                                                                                                                                        
  └─luks-585159d2-e2e6-4ff5-bee5-af0bb6b438a1 253:0    0   49G  0 crypt                                                                                                                                                                       
    ├─cs-root                                 253:1    0   46G  0 lvm   /                                                                                                                                                                     
    └─cs-swap                                 253:2    0  3,1G  0 lvm   [SWAP]
[root@localhost ~]# cryptsetup -v status luks-585159d2-e2e6-4ff5-bee5-af0bb6b438a1
/dev/mapper/luks-585159d2-e2e6-4ff5-bee5-af0bb6b438a1 is active and is in use.
  type:    LUKS1
  cipher:  aes-xts-plain64
  keysize: 512 bits
  key location: dm-crypt
  device:  /dev/sda2
  sector size:  512
  offset:  4096 sectors
  size:    102754304 sectors
  mode:    read/write
  flags:   discards 
Befehl erfolgreich.

Um zu prüfen welche Key-Slots bereits vergeben sind verwendet man:

[root@localhost ~]# cryptsetup luksDump /dev/sda2           
LUKS header information for /dev/sda2

Version:        1
Cipher name:    aes
Cipher mode:    xts-plain64
Hash spec:      sha256
Payload offset: 4096
MK bits:        512
MK digest:      cb cf 61 78 d8 ae d3 02 92 1a 23 68 da 0c ac c5 0f 37 56 5b 
MK salt:        c7 d6 70 89 69 0c 49 ef 60 02 d4 17 04 f5 60 42 
                f4 e2 cc 0c ec 78 5b 37 59 4f 52 d1 c0 a6 bc e6 
MK iterations:  127254
UUID:           585159d2-e2e6-4ff5-bee5-af0bb6b438a1

Key Slot 0: ENABLED
    Iterations:                 2078444
    Salt:                       d7 fe 01 14 66 72 70 10 05 de 7f 8d 6e ed 52 c6 
                                3b ca d2 0f bf a7 9f ab 2c f9 e3 82 66 fd e8 1d 
    Key material offset:        8
    AF stripes:                 4000
Key Slot 1: DISABLED
Key Slot 2: DISABLED
Key Slot 3: DISABLED
Key Slot 4: DISABLED
Key Slot 5: DISABLED
Key Slot 6: DISABLED
Key Slot 7: DISABLED 

Um ein neues (zusätzliches) Passwort zu setzen verwenden wir den nächsten freien Slot (Key Slot 1).
Dabei wird ein bereits bestehendes Passwort benötigt.

[root@localhost ~]# cryptsetup luksAddKey --key-slot 1 /dev/sda2 
Geben Sie irgendeine bestehende Passphrase ein:
Geben Sie die neue Passphrase für das Schlüsselfach ein:
Passphrase bestätigen: 

Bei einem erneuten dumpen sollte der Key Slot 1 nun auch verwendet werden:

[root@localhost ~]# cryptsetup luksDump /dev/sda2 
LUKS header information for /dev/sda2

Version:        1
Cipher name:    aes 
Cipher mode:    xts-plain64  
Hash spec:      sha256 
Payload offset: 4096 
MK bits:        512
MK digest:      cb cf 61 78 d8 ae d3 02 92 1a 23 68 da 0c ac c5 0f 37 56 5b  
MK salt:        c7 d6 70 89 69 0c 49 ef 60 02 d4 17 04 f5 60 42
                f4 e2 cc 0c ec 78 5b 37 59 4f 52 d1 c0 a6 bc e6  
MK iterations:  127254 
UUID:           585159d2-e2e6-4ff5-bee5-af0bb6b438a1  

Key Slot 0: ENABLED   
    Iterations:                 2078444 
    Salt:                       d7 fe 01 14 66 72 70 10 05 de 7f 8d 6e ed 52 c6 
                                3b ca d2 0f bf a7 9f ab 2c f9 e3 82 66 fd e8 1d 
    Key material offset:        8
    AF stripes:                 4000
Key Slot 1: ENABLED
    Iterations:                 1768256
    Salt:                       ba bc a1 86 9c ad 01 fe 9f f1 18 2b c6 54 79 bb 
                                47 6e 87 52 4c a8 1f e4 59 67 a9 44 8b 38 21 b2 
    Key material offset:        512
    AF stripes:                 4000
Key Slot 2: DISABLED
Key Slot 3: DISABLED
Key Slot 4: DISABLED
Key Slot 5: DISABLED
Key Slot 6: DISABLED
Key Slot 7: DISABLED

LUKS Passwort ändern

Um ein bestehendes Passwort zu ändern verwendet man: cryptsetup luksChangeKey <device>
Dabei muss man keinen Key Slot angeben sondern nur das Passwort, welches geändert werden soll.

[root@localhost ~]# cryptsetup luksChangeKey /dev/sda2
Geben Sie die zu ändernde Passphrase ein: 
Geben Sie die neue Passphrase ein: 
Passphrase bestätigen:

Autor
Kategorien Linux, General

Letzte Beiträge:

PRTG Map