zusätzliches LUKS Passwort setzen
Zuerst prüfen wir den aktuellen Status des mittels LUKS verschlüsselten Datenträger:
root@localhost ~]# lsblk
NAME MAJ:MIN RM SIZE RO TYPE MOUNTPOINT
sda 8:0 0 50G 0 disk
├─sda1 8:1 0 1G 0 part /boot
└─sda2 8:2 0 49G 0 part
└─luks-585159d2-e2e6-4ff5-bee5-af0bb6b438a1 253:0 0 49G 0 crypt
├─cs-root 253:1 0 46G 0 lvm /
└─cs-swap 253:2 0 3,1G 0 lvm [SWAP][root@localhost ~]# cryptsetup -v status luks-585159d2-e2e6-4ff5-bee5-af0bb6b438a1
/dev/mapper/luks-585159d2-e2e6-4ff5-bee5-af0bb6b438a1 is active and is in use.
type: LUKS1
cipher: aes-xts-plain64
keysize: 512 bits
key location: dm-crypt
device: /dev/sda2
sector size: 512
offset: 4096 sectors
size: 102754304 sectors
mode: read/write
flags: discards
Befehl erfolgreich.Um zu prüfen welche Key-Slots bereits vergeben sind verwendet man:
[root@localhost ~]# cryptsetup luksDump /dev/sda2
LUKS header information for /dev/sda2
Version: 1
Cipher name: aes
Cipher mode: xts-plain64
Hash spec: sha256
Payload offset: 4096
MK bits: 512
MK digest: cb cf 61 78 d8 ae d3 02 92 1a 23 68 da 0c ac c5 0f 37 56 5b
MK salt: c7 d6 70 89 69 0c 49 ef 60 02 d4 17 04 f5 60 42
f4 e2 cc 0c ec 78 5b 37 59 4f 52 d1 c0 a6 bc e6
MK iterations: 127254
UUID: 585159d2-e2e6-4ff5-bee5-af0bb6b438a1
Key Slot 0: ENABLED
Iterations: 2078444
Salt: d7 fe 01 14 66 72 70 10 05 de 7f 8d 6e ed 52 c6
3b ca d2 0f bf a7 9f ab 2c f9 e3 82 66 fd e8 1d
Key material offset: 8
AF stripes: 4000
Key Slot 1: DISABLED
Key Slot 2: DISABLED
Key Slot 3: DISABLED
Key Slot 4: DISABLED
Key Slot 5: DISABLED
Key Slot 6: DISABLED
Key Slot 7: DISABLED Um ein neues (zusätzliches) Passwort zu setzen verwenden wir den nächsten freien Slot (Key Slot 1).
Dabei wird ein bereits bestehendes Passwort benötigt.
[root@localhost ~]# cryptsetup luksAddKey --key-slot 1 /dev/sda2
Geben Sie irgendeine bestehende Passphrase ein:
Geben Sie die neue Passphrase für das Schlüsselfach ein:
Passphrase bestätigen: Bei einem erneuten dumpen sollte der Key Slot 1 nun auch verwendet werden:
[root@localhost ~]# cryptsetup luksDump /dev/sda2
LUKS header information for /dev/sda2
Version: 1
Cipher name: aes
Cipher mode: xts-plain64
Hash spec: sha256
Payload offset: 4096
MK bits: 512
MK digest: cb cf 61 78 d8 ae d3 02 92 1a 23 68 da 0c ac c5 0f 37 56 5b
MK salt: c7 d6 70 89 69 0c 49 ef 60 02 d4 17 04 f5 60 42
f4 e2 cc 0c ec 78 5b 37 59 4f 52 d1 c0 a6 bc e6
MK iterations: 127254
UUID: 585159d2-e2e6-4ff5-bee5-af0bb6b438a1
Key Slot 0: ENABLED
Iterations: 2078444
Salt: d7 fe 01 14 66 72 70 10 05 de 7f 8d 6e ed 52 c6
3b ca d2 0f bf a7 9f ab 2c f9 e3 82 66 fd e8 1d
Key material offset: 8
AF stripes: 4000
Key Slot 1: ENABLED
Iterations: 1768256
Salt: ba bc a1 86 9c ad 01 fe 9f f1 18 2b c6 54 79 bb
47 6e 87 52 4c a8 1f e4 59 67 a9 44 8b 38 21 b2
Key material offset: 512
AF stripes: 4000
Key Slot 2: DISABLED
Key Slot 3: DISABLED
Key Slot 4: DISABLED
Key Slot 5: DISABLED
Key Slot 6: DISABLED
Key Slot 7: DISABLEDLUKS Passwort ändern
Um ein bestehendes Passwort zu ändern verwendet man: cryptsetup luksChangeKey <device>
Dabei muss man keinen Key Slot angeben sondern nur das Passwort, welches geändert werden soll.
[root@localhost ~]# cryptsetup luksChangeKey /dev/sda2
Geben Sie die zu ändernde Passphrase ein:
Geben Sie die neue Passphrase ein:
Passphrase bestätigen: