Автор Тема: Как сменить пароль на Luks?  (Прочитано 3694 раз)

Оффлайн maxiva

  • Завсегдатай
  • *
  • Сообщений: 172
Как сменить пароль на Luks?
« : 26.12.2017 12:48:05 »
Пришлось сообщить пароль на Luks-разделы сотруднику (требовалась перезагрузка сервера).
Физического доступа к серверу у меня нет - могу залогиниться через ssh.

Вопрос: какой командой поменять пароль на Luks-разделе (при установке был зашифрован весь /home)?

Оффлайн ruslandh

  • Поспешай не торопясь !
  • Модератор глобальный
  • *****
  • Сообщений: 32 246
  • Учиться .... Телепатами не рождаются, ими ....
    • Email

Оффлайн maxiva

  • Завсегдатай
  • *
  • Сообщений: 172
Re: Как сменить пароль на Luks?
« Ответ #2 : 26.12.2017 13:17:07 »
Интересно написано. Но, наверное, требуются пояснения:

1)
А командой
[root@localhost /]# cryptsetup luksUUID /dev/sda2
1873618d-2648-450a-b312-224abe1afd42

Откуда взялось sda2? А если нет?

У меня:
fdisk -l | grep /dev/
Disk /dev/sda: 1000.2 GB, 1000204886016 bytes, 1953525168 sectors
/dev/sda1   *        2048     8355839     4176896   82  Linux своп / Solaris
/dev/sda2         8355840  1032351743   511997952   83  Linux
/dev/sda3      1032351744  1286291455   126969856   83  Linux
/dev/sda4      1286291456  1953519615   333614080    5  Расширенный
/dev/sda5      1286291464  1953519615   333614076   83  Linux
Disk /dev/mapper/luks-b7158f5d-0c5b-164c-9117-468de55c1bce: 524.3 GB, 524283805696 bytes, 1023991808 sectors

cat /etc/crypttab
luks-b7158f5d-0c5b-164c-9117-468de55c1bce       UUID=b7158f5d-0c5b-164c-9117-468de55c1bce       none    luks

2)
Для проверки ещё можно получить статус устройства

[root@localhost /]# cryptsetup status <strong>/dev/dm-0</strong>
/dev/mapper//dev/dm-0 is active:
  cipher:  aes-xts-plain
  keysize: 512 bits
  <strong>device:  /dev/sda2</strong>
  offset:  4040 sectors
  size:    487553080 sectors
  mode:    read/write


Откуда взялось "<strong>/dev/dm-0</strong>"? Что туда подставлять?

cryptsetup status <strong>/dev/dm-0</strong>
-bash: syntax error near unexpected token `newline'

3)
Далее он пишет:

Чтобы создать новый пароль необходимо выпонить следующую команду:

cryptsetup -y luksAddKey /dev/sda2

После этого нужно перегрузить машину и загрузиться используя новый установленный пароль и затем удалить старый:

cryptsetup luksDelKey /dev/sda2 key_slot
тоесть у меня:

cryptsetup luksDelKey /dev/sda2 0'

Что значит "у меня"? Как коррелируют обе записи про удаление старого?

Скажем так, это не инструкция, а что-то из области размышлений на тему.
« Последнее редактирование: 26.12.2017 13:34:57 от maxiva »

Оффлайн ruslandh

  • Поспешай не торопясь !
  • Модератор глобальный
  • *****
  • Сообщений: 32 246
  • Учиться .... Телепатами не рождаются, ими ....
    • Email
Re: Как сменить пароль на Luks?
« Ответ #3 : 26.12.2017 15:02:37 »
Откуда взялось sda2? А если нет?
Это пример. У вас это может быть другой раздел.

Оффлайн maxiva

  • Завсегдатай
  • *
  • Сообщений: 172
Re: Как сменить пароль на Luks?
« Ответ #4 : 26.12.2017 15:04:40 »
Это прекрасно. Как узнать, на каком разделе сервера Luks?
И, собственно, все остальные вопросы.

Нужна инструкция для смены пароля Luks. Ищу :)

Оффлайн ruslandh

  • Поспешай не торопясь !
  • Модератор глобальный
  • *****
  • Сообщений: 32 246
  • Учиться .... Телепатами не рождаются, ими ....
    • Email
Re: Как сменить пароль на Luks?
« Ответ #5 : 26.12.2017 15:05:15 »
Суть - надо создать новый пароль на раздел и удалить старый.

Оффлайн ASte

  • Мастер
  • ***
  • Сообщений: 1 549
Re: Как сменить пароль на Luks?
« Ответ #6 : 26.12.2017 15:06:27 »
Как узнать, на каком разделе сервера Luks?
lsblk подскажет

Оффлайн ruslandh

  • Поспешай не торопясь !
  • Модератор глобальный
  • *****
  • Сообщений: 32 246
  • Учиться .... Телепатами не рождаются, ими ....
    • Email
Re: Как сменить пароль на Luks?
« Ответ #7 : 26.12.2017 15:07:37 »
Посмотрите через blkid связь между UUID разделов и их расположением в /dev

Оффлайн ruslandh

  • Поспешай не торопясь !
  • Модератор глобальный
  • *****
  • Сообщений: 32 246
  • Учиться .... Телепатами не рождаются, ими ....
    • Email
Re: Как сменить пароль на Luks?
« Ответ #8 : 26.12.2017 15:09:00 »
Цитировать
Чтобы создать новый пароль необходимо выполнить следующую команду:

cryptsetup -y luksAddKey /dev/...

После этого нужно перегрузить машину и загрузиться используя новый установленный пароль и затем удалить старый:

cryptsetup luksDelKey /dev/.... key_slot

Оффлайн maxiva

  • Завсегдатай
  • *
  • Сообщений: 172
Re: Как сменить пароль на Luks?
« Ответ #9 : 26.12.2017 15:28:55 »
Во! Становится сильно понятнее!

lsblk
NAME                                                 MAJ:MIN RM   SIZE RO TYPE  MOUNTPOINT
sda                                                    8:0    0 931,5G  0 disk 
├─sda1                                                 8:1    0     4G  0 part  [SWAP]
├─sda2                                                 8:2    0 488,3G  0 part 
│ └─luks-b7158f5d-0c5b-164c-9117-468de55c1bce (dm-0) 253:0    0 488,3G  0 crypt /home
├─sda3                                                 8:3    0 121,1G  0 part  /
├─sda4                                                 8:4    0     1K  0 part 
└─sda5                                                 8:5    0 318,2G  0 part  /var/ftp
sr0                                                   11:0    1   3,2G  0 rom   
loop0                                                  7:0    0   4,1G  1 loop  /srv/public/netinst/mnt

blkid
/dev/loop0: UUID="2013-07-23-16-23-18-00" LABEL="ALT Linux 7.0.0 KDesktop  (Cen" TYPE="iso9660" PTTYPE="dos"
/dev/sda1: UUID="3a638604-5641-48d7-8ea1-f2c9af736b3c" TYPE="swap"
/dev/sda2: UUID="b7158f5d-0c5b-164c-9117-468de55c1bce" TYPE="crypto_LUKS"
/dev/sda3: UUID="eba4570c-75c4-4d42-9281-0418b2b9a95b" TYPE="ext4"
/dev/sda5: UUID="d57b937f-62f9-4744-9c6e-0e92254ba098" TYPE="ext4"
/dev/sr0: UUID="2013-07-22-01-03-40-00" LABEL="ALT Linux 7.0.1 Centaurus  (Ph" TYPE="iso9660" PTTYPE="dos"
/dev/mapper/luks-b7158f5d-0c5b-164c-9117-468de55c1bce: UUID="c59341f4-2b1e-40ae-a447-c391601b68a9" TYPE="xfs"

Вопросы:
1) зачем выяснять UUID, если он более нигде не используется? Может быть несколько Luks в одной системе и с разными паролями?
2) key_slot - это служебное слово (имя файла пароля)? Он где-то лежит в системе и надо ли указывать путь или его расположение стандартно и система однозначно знает про него?
3) если не удалить старый пароль, он все так же будет работать (и по статье, их может быть аж 8 штук)?

Оффлайн ruslandh

  • Поспешай не торопясь !
  • Модератор глобальный
  • *****
  • Сообщений: 32 246
  • Учиться .... Телепатами не рождаются, ими ....
    • Email
Re: Как сменить пароль на Luks?
« Ответ #10 : 26.12.2017 16:10:54 »
Почитайте man cryptsetup

Оффлайн ruslandh

  • Поспешай не торопясь !
  • Модератор глобальный
  • *****
  • Сообщений: 32 246
  • Учиться .... Телепатами не рождаются, ими ....
    • Email
Re: Как сменить пароль на Luks?
« Ответ #11 : 26.12.2017 16:12:22 »
key_slot
Скорей всего описка, в мане написано:
Цитировать
--key-slot, -S
    For LUKS operations that add key material, this options allows to you specify which key slot is selected for the new key. This option can be used for luksFormat and luksAddKey.


Оффлайн maxiva

  • Завсегдатай
  • *
  • Сообщений: 172
Re: Как сменить пароль на Luks?
« Ответ #12 : 26.12.2017 16:43:58 »
Да, там еще указано, что

Deprecated Actions
The luksDelKey was replaced with luksKillSlot.

И вообще - весь man пронизан различиями ключевого файла и пароля со стороны stdn

Осталось понять, а как все-таки действовать правильно? Я так понимаю, что в нашем случае никакого ключевого файла нет вовсе.
« Последнее редактирование: 26.12.2017 16:46:46 от maxiva »

Оффлайн ruslandh

  • Поспешай не торопясь !
  • Модератор глобальный
  • *****
  • Сообщений: 32 246
  • Учиться .... Телепатами не рождаются, ими ....
    • Email
Re: Как сменить пароль на Luks?
« Ответ #13 : 26.12.2017 16:58:15 »
Посмотите установленный man, т.к. он может отличаться от ссылки в интернете.
Я сейчас этого сделать не могу

Оффлайн maxiva

  • Завсегдатай
  • *
  • Сообщений: 172
Re: Как сменить пароль на Luks?
« Ответ #14 : 27.12.2017 14:19:38 »
Пароль новый установился:

cryptsetup -y luksAddKey /dev/sda2
Enter any passphrase:
Verify passphrase:
No key available with this passphrase.

Ключа, как и ожидалось - нет.

параметр -y означает тоже самое , что и --verify-passphrase, т.е. запрос пароля с клавиатуры дважды.


В man на самом сервере (в той версии) указано например следующее (очень интересно!):

luksChangeKey <device> [<new key file>]

change  existing  key file or passphrase. An existing passphrase or key file (via --key-file) must be supplied.  The key file with the new material
              is supplied as a positional argument.

              If no key slot is specified (and there is still free key slot on device) new slot is allocated before the old is purged.

              If --key-slot option is specified (or there is no free slot) command will overwrite existing slot.

              WARNING: Be sure you have another slot active or header backup when using explicit key slot (so you can unlock the device even after possible media
              failure during slot swap).


Вольный перевод: изменение пароля или ключевого файла. Внимание: должен быть другой рабочий  пароль на всякий случай.

Вот это про что, интересно?
« Последнее редактирование: 27.12.2017 14:25:32 от maxiva »