Wie ändere ich das Passwort eines verschlüsselten LVM-Systems (bei der alternativen Installation)?

65

Ich habe Ubuntu 11.10 mit der alternativen CD installiert und das gesamte System (außer Boot) mit dem verschlüsselten LVM verschlüsselt. Alles funktioniert wie bisher, aber ich möchte das Passwort des verschlüsselten LVM ändern. Ich habe versucht, die Tipps und Tricks dieses Artikels zu befolgen , aber es funktioniert nicht. Nach dem Tippen:

sudo cryptsetup luksDump /dev/sda5

Es heißt: "Gerät / dev / sd5 existiert nicht oder Zugriff verweigert." Ich dachte, die verschlüsselte Partition ist / dev / sda5. Irgendeine Hilfe, wie man das Passwort ändert?

Filbuntu
quelle
1
Ups, es war in der Tat ein Tippfehler! Ich habe immer / dev / sd5 anstelle von / dev / sd5 eingegeben. Danke Hamish für den Hinweis. Also beantworte ich die Frage mit den Informationen von Andreas Härter (blog.andreas-haerter.com/2011/06/18/ubuntu-full-disk-encryption-lvm-luks#tips_and_tricks)
Filbuntu
2
mögliches Duplikat von Wie ändere ich die LUKS-Passphrase?
Gilles

Antworten:

62

Hier ist die Antwort, die für mich funktioniert hat, nachdem Hamish mir geholfen hat, meinen Tippfehler zu realisieren.

WARNUNG (für ältere Ubuntu-Versionen sollten neuere (zB 19.04) Fehler behoben sein, aber seien Sie trotzdem vorsichtig): Wenn Sie nur einen Schlüssel haben und ihn entfernen, bevor Sie einen weiteren hinzufügen, wird Ihre Festplatte nach dem Neustart unzugänglich! Dies bedeutet auch, dass Sie danach keinen neuen Schlüssel mehr hinzufügen können. Danke waffl und khaimovmr für diese hilfreichen Kommentare.

Zuerst müssen Sie herausfinden, welche der verschlüsselten LVM-Partitionen sda3, aber auch sda5 (Standard bei Ubuntu LVM), sdX2, ... ist:

cat /etc/crypttab

Verwenden Sie zum Hinzufügen eines neuen Kennworts Folgendes luksAddKey:

sudo cryptsetup luksAddKey /dev/sda3

Verwenden Sie zum Entfernen eines vorhandenen Kennworts Folgendes luksRemoveKey:

sudo cryptsetup luksRemoveKey /dev/sda3

Anzeigen der aktuell verwendeten Slots der verschlüsselten Partition:

sudo cryptsetup luksDump /dev/sda3

Zitiert aus diesem Blog . Vielen Dank.

In Ubuntu 18.04 gibt es eine andere Möglichkeit, (Gnome) -Disketten zu verwenden . Vielen Dank für den Hinweis , Greg Lever . Nachdem ich mich umgesehen hatte , fand ich, was Greg erwähnte:
1. Öffnen Sie Gnome Disks.
2. Wählen Sie im linken Bereich die physische Hauptfestplatte aus, und klicken Sie darauf.
3. Klicken Sie auf die mit LUKS verschlüsselte Partition, in diesem Beispiel Partition 3: 4. Klicken Sie auf das Bearbeitungssymbol (Zahnräder, Zahnräder) und wählen Sie "Paraphrase ändern".Screenshot Gnome-Datenträger

Filbuntu
quelle
1
Bedeutet dies, dass Sie mehr als ein Passwort haben können, um die Festplatte zu entschlüsseln?
bph
5
Du kannst. Ich habe es getestet
bph 25.01.16
1
Es gibt Slots - acht davon glaube ich. Jeder Steckplatz ist eine Entsperroption. Könnten 8 Passwörter sein, wenn Sie wollten.
Cookie
3
WARNUNG Über dieser Antwort sollte ein Haftungsausschluss stehen: Wenn Sie vor dem Hinzufügen eines weiteren Schlüssels den einzigen Schlüssel entfernen, können Sie nach dem Neustart nicht mehr auf Ihre Festplatte zugreifen!
Waffel
1
WARNUNG Die Festplatte ist nicht nur nach dem Neustart unbrauchbar, wenn Sie den letzten Schlüssel gelöscht haben, sondern SIE KÖNNEN AUCH KEINE NEUEN SCHLÜSSEL HINZUFÜGEN!
KhaimovMR
28

Laden Sie "Disks" vom Software Manager herunter. Starte es. Wählen Sie Ihre verschlüsselte Gerätepartition aus. Klicken Sie auf das Zahnradsymbol. Wählen Sie "Passwort ändern". Das ist es

zoubak
quelle
13

Ohne nachzudenken, habe ich die Passphrase auf sehr lang gesetzt, und das Tippen hat mir wehgetan. Am Ende habe ich Folgendes verwendet, um es in etwas übersichtlicheres zu verwandeln.

sudo cryptsetup luksChangeKey /dev/sda5
jc00ke
quelle
13

So zeigen Sie die verwendeten Slots an:

sudo cryptsetup luksDump /dev/sda5

Und um herauszufinden, welche Partition verwendet werden soll

cat /etc/crypttab

Und wenn es von UUID aufgeführt wird, verwenden Sie

ls -l /dev/disk/by-uuid/{insert your uuid here}

Dann benutze

sudo cryptsetup luksAddKey /dev/sda5
sudo cryptsetup luksRemoveKey /dev/sda5

oder

sudo cryptsetup luksChangeKey /dev/sda5

und zum schnelleren Nachschlagen (nur 1 Eintrag in / etc / crypttab vorausgesetzt)

sudo cryptsetup luksAddKey /dev/disk/by-uuid/$(cat /etc/crypttab | sed -e "s|\(.*\) UUID=\(.*\) none.*|\2|g")
sudo cryptsetup luksChangeKey /dev/disk/by-uuid/$(cat /etc/crypttab | sed -e "s|\(.*\) UUID=\(.*\) none.*|\2|g")
Plätzchen
quelle
+1, um zu erklären, was zu tun ist, wenn cat /etc/crypttabuuid aufgelistet wird.
Antony
6

Die verschlüsselte Partition wird möglicherweise verwendet /dev/sda5(beachten Sie das a in sda5) und das ist das Gerät, das Sie wahrscheinlich verwenden müssen (es sei denn, dies ist nur ein Tippfehler in Ihrer Frage).

Das verschlüsselte Gerät selbst hat jedoch einen anderen Namen - so etwas wie /dev/mapper/cryptroot. Für den Gerätenamen können Sie:

  • Schauen Sie in die Datei /etc/crypttab- diese enthält sowohl die Partition als auch den Mapper-Namen, jedoch nur für permanente Partitionen
  • Führen mountSie den Mapper aus und sehen Sie, wie er heißt. Dies ist nützlich, wenn Sie eine verschlüsselte Festplatte über USB angeschlossen haben. (Obwohl ich nicht sicher bin, wie Sie dann den eigentlichen zugrunde liegenden Gerätenamen finden).
Hamish Downer
quelle
2

Unter Ubuntu 18.04 können gnome-disksSie zeigen und klicken, um die Passphrase für die Verschlüsselung zu ändern.

Greg Lever
quelle
1

Ich hatte Probleme beim Suchen des Partitionsnamens. Deshalb habe ich diese Anleitung erstellt:

  1. Suchen Sie Ihre LMV-Partition

    # install jq if you don't have it
    sudo apt-get install jq
    
    # find LVM partition
    LVMPART=$(lsblk -p --json | jq -r '.blockdevices[] | select(.children) | .children[] | select(.children) as $partition | .children[] | select(.type == "crypt") | $partition.name')
    
    # check if it was found
    echo $LVMPART
    
        # (optional)
        # if above output is empty, locate it in a tree view using this command
        lsblk -p
    
        # partition `/dev/some_name` should be the parent object of the one with TYPE of `crypt`, set it
        LVMPART=`/dev/some_name`
    
  2. Überprüfen Sie das LVM-Partitions-Meta, indem Sie es sichern

    sudo cryptsetup luksDump $LVMPART
    
  3. Neuen Schlüssel hinzufügen (Sie können mehrere Schlüssel haben)

    sudo cryptsetup luksAddKey $LVMPART
    
  4. Nach dem erneuten Entleeren sollten Sie mehrere Schlüssel sehen

    sudo cryptsetup luksDump $LVMPART
    
  5. Löschen Sie bei Bedarf den alten Schlüssel

    sudo cryptsetup luksRemoveKey $LVMPART
    
user2174835
quelle