LUKS 비밀번호를 변경해 보았습니다.
내가 사용한 소스: https://www.linuxexperten.com/content/how-do-i-change-my-luks-encryption-password-and-more
부팅, 루트, 스왑 및 홈에 대해 별도의 파티션이 있습니다. Luks가 있는 파티션을 확인하려면:
blkid -t TYPE=crypto_LUKS -o device
/dev/sda5
/dev/sda6
/dev/sda7
그런 다음 sda5가 몇 개의 슬롯을 차지하고 있는지 확인하십시오.
$ sudo cryptsetup luksDump /dev/sda5 |grep Key.Slot
Key Slot 0: ENABLED
Key Slot 1: DISABLED
Key Slot 2: DISABLED
Key Slot 3: DISABLED
Key Slot 4: DISABLED
Key Slot 5: DISABLED
Key Slot 6: DISABLED
Key Slot 7: DISABLED
분명히 루트는 마스터 키를 사용하여 새 키를 추가할 수 있습니다.
$ sudo dmsetup ls --target crypt
swapfs (254, 2)
rootfs (254, 0)
homefs (254, 1)
그런데 다른 파티션 sda6과 7을 확인하고 얼마나 많은 슬롯이 사용되고 있는지 확인하겠다고 말했습니다. 가지다두 명은 이미 자리를 잡았어요 비밀번호를 변경하기 전에
$ sudo cryptsetup luksDump /dev/sda6 |grep Key.Slot
Key Slot 0: ENABLED
Key Slot 1: ENABLED
Key Slot 2: DISABLED
Key Slot 3: DISABLED
Key Slot 4: DISABLED
Key Slot 5: DISABLED
Key Slot 6: DISABLED
Key Slot 7: DISABLED
$ sudo cryptsetup luksDump /dev/sda7 |grep Key.Slot
Key Slot 0: ENABLED
Key Slot 1: ENABLED
Key Slot 2: DISABLED
Key Slot 3: DISABLED
Key Slot 4: DISABLED
Key Slot 5: DISABLED
Key Slot 6: DISABLED
Key Slot 7: DISABLED
세 개의 파티션이 모두 동일한 비밀번호를 가지고 있다는 것을 알고 있습니다. LUKS에 대한 다른 비밀번호가 없습니다. 이게 무슨 뜻이야?"다른 사람이 액세스할 수 있습니다."다른 두 파티션으로?
답변1
시작하는 동안 비밀번호를 몇 번이나 입력해야 합니까? 한 번만 슬롯 중 하나를 사용하여 암호화를 "체인"할 수 있습니다.
- 파티션 A의 잠금을 해제하려면 비밀번호/문구를 입력하세요.
- 파티션 A에는 파티션 B와 C에 대해 무작위로 생성된 긴 암호(키)가 포함된 파일이 있습니다.
- 파티션 B와 C는 파티션 A의 비밀번호를 사용하여 자동으로 잠금 해제됩니다.
/etc/crypttab키 파일의 위치를 보여주는 에서 이에 대한 증거를 볼 수 있습니다 .
추신: 누군가가 암호화된 데이터에 비밀리에 액세스하기를 원하고 다른 키를 설치할 수 있는 충분한 액세스 권한이 있는 경우 간단히 마스터 키의 복사본을 얻을 수 있습니다. 이는 증거를 남기지 않으며 비밀번호 변경에 관계없이 복호화를 허용합니다. 이 문제를 해결하는 유일한 방법은 전체 파티션을 다시 암호화하는 것입니다. (간단히 말해서 LUKS는 비밀번호를 사용하여 마스터 키를 암호화하는 방식으로 작동합니다. 그런 다음 마스터 키를 사용하여 파티션을 암호화합니다. 이것이 전체 드라이브를 다시 암호화하지 않고도 비밀번호를 변경할 수 있는 이유입니다.)