Wusamos secreto para proteger los dispositivos móviles. Por ejemplo, siempre uso el secreto de disco LUKS para proteger todos los archivos almacenados en mi SSD. El secreto de disco de código despejado Dm-crypt (Cryptsetup y LUKS) es un secreto de disco transparente y una excelente guisa de persistir sus datos seguros. Sin incautación, cambiar la frase de contraseña es un desafío para los nuevos usuarios y desarrolladores de Linux. Esta derrotero paso a paso explica cómo encontrar las ranuras LUKS que se le asignaron y cambiar su frase de contraseña en Debian / Ubuntu, CentOS / RHEL, OpenSUSE / SUSE y otras distribuciones de Linux.
Cómo cambiar la frase de contraseña de secreto de disco LUKS en Linux
Primero, necesitamos emplazar información sobre sistemas de archivos encriptados.
Paso 1: consulta el archivo / etc / crypttab en Linux
El archivo / etc / crypttab contiene información descriptiva sobre los sistemas de archivos cifrados LUKS y la aspecto con el comando cat:sudo cat /etc/crypttab
Esto es lo que vi:
sda3_crypt UUID=42e50ed0-5055-45f5-b1fc-0f54669e6d1f none luks,discard>
Entonces tengo sda3_crypt. En su sistema, es posible que vea un nombre diferente, como md1_crypt para el secreto de disco LUKS protegido con RAID-1. Ahora obtuvimos información del dispositivo y es hora de encontrar el esquema de partición para sda3:sudo fdisk -l /dev/sda
/ dev / sda3:
Disk /dev/sda: 931.5 GiB, 1000204886016 bytes, 1953525168 sectors Disk model: CT1000MX500SSD1 Units: sectors of 1 * 512 = 512 bytes Sector size (logical/physical): 512 bytes / 4096 bytes I/O size (minimum/optimal): 4096 bytes / 4096 bytes Disklabel type: gpt Disk identifier: 1BB1DDD0-47F9-48FB-AA29-69D6A74F4D91 Device Start End Sectors Size Type /dev/sda1 2048 1050623 1048576 512M EFI System /dev/sda2 1050624 1550335 499712 244M Linux filesystem /dev/sda3 1550336 1953523711 1951973376 930.8G Linux filesystem
Asegúrese de sustituir / dev / sda3 con el nombre de su dispositivo positivo en Linux.
Paso 2: volcar la información del encabezado de un dispositivo LUKS
Ejecute el ulterior comando para obtener información sobre nuestro / dev / sda3 encriptado:sudo cryptsetup luksDump /dev/sda3
Mi información de encabezado de partición / disco LUKS:
LUKS header information Version: 2 Epoch: 4 Metadata area: 16384 [bytes] Keyslots area: 16744448 [bytes] UUID: 42e50ed0-5055-45f5-b1fc-0f54669e6d1f Label: (no label) Subsystem: (no subsystem) Flags: (no flags) Data segments: 0: crypt offset: 16777216 [bytes] length: (whole device) cipher: aes-xts-plain64 sector: 512 [bytes] Keyslots: 0: luks2 Key: 512 bits Priority: común Cipher: aes-xts-plain64 Cipher key: 512 bits PBKDF: argon2i Time cost: 7 Memory: 1048576 Threads: 4 Salt: fc 9d b7 e0 ec 06 d0 b1 47 09 61 6f c1 73 f9 51 b7 ff 9b 6b 44 a0 2b c5 dd 5a c4 7e 46 28 c3 62 AF stripes: 4000 AF hash: sha256 Area offset:32768 [bytes] Area length:258048 [bytes] Digest ID: 0 Tokens: Digests: 0: pbkdf2 Hash: sha256 Iterations: 136107 Salt: 40 82 65 fc cf e1 24 d3 0d b8 85 07 13 c7 dd a1 03 52 6a b9 04 b8 6d 23 4a d1 90 89 cb 96 a7 ca Digest: 5b d0 10 56 e4 9a ff e1 eb 14 2a fb 4d 85 ba c3 a7 75 fa fa 6c 24 cc 01 b0 9c 34 dd 48 98 1a d9
Parece que solo tengo la ranura 0, pero en muchos sistemas, es posible que vea hasta 8 ranuras numeradas del 0 al 7. Por lo tanto, en el paso 3, veremos cómo determinar su ranura LUKS.
Paso 3: investigar la ranura LUKS que le asignó el administrador de sistemas o el instalador de Linux
Para determinar en qué ranura luks se encuentra una frase de contraseña en Linux, ejecute:sudo cryptsetup --verbose open --test-passphrase /path/to/dev/
sudo cryptsetup --verbose open --test-passphrase /dev/sda3
El comando le dirá la ranura LUKS correcta sin ninguna conjetura de su parte:
Enter passphrase for /dev/sda3: Key slot 0 unlocked. Command successful.
Anote el número de ranura. En otras palabras, necesitamos usar el número de ranura para / dev / sda3.
Paso 4: cambiar la frase de contraseña de secreto de disco LUKS en Linux usando la columna de comandos
Hasta ahora, todo está adecuadamente, obtuvimos toda la información necesaria para desempolvar o cambiar la frase de contraseña existente. Tenga en cuenta que una frase de contraseña es similar a una contraseña en uso, pero generalmente es más larga por razones de seguridad. La sintaxis es:sudo cryptsetup luksChangeKey /dev/sda3 -S 0
Primero, ingrese la contraseña existente y presione el [Enter] espita. Si la frase de contraseña es correcta, puede cambiarla ingresándola dos veces de la ulterior guisa:
Enter passphrase to be changed: Enter new passphrase: Verify passphrase:
Paso 5: compulsar la nueva contraseña
Reinicie el sistema Linux o simule una nueva frase de contraseña en la CLI de la ulterior guisa:sudo cryptsetup --verbose open --test-passphrase /dev/sda3
Uso de la utensilio GUI ‘Discos y almacenamiento’ para cambiar la frase de contraseña
Los nuevos desarrolladores y usuarios de Linux pueden encontrar complicada toda la columna de comandos. Felizmente, los usuarios de escritorio de Linux pueden callar todos los pasos complicados y usar directamente la utilidad Disco y almacenamiento.
Besalamano a gnome-disks: la aplicación GNOME Disks
Gnome-disks es el comando para iniciar la aplicación GNOME Disks. Disks proporciona una forma de inspeccionar, formatear, particionar y configurar discos y estrechar dispositivos. Anconada la aplicación Terminal y luego escriba:$ gnome-disks
Todavía podemos desobstruir Discos aplicación de la Ocupaciones descripción genérico de la GUI. Una vez despejado, elija el disco de la repertorio en el panel izquierdo y asegúrese de decidir LUKS. Haga clic en la opción de partición adicional y haga clic en Cambiar frase de contraseña:
Cómo cambiar su frase de contraseña / contraseña de secreto LUKS usando la GUI de Disks
Resumiendo
Explicamos los métodos GUI y CLI para desempolvar o reemplazar la frase de contraseña de secreto de disco LUKS existente en su sistema Linux. Tenga en cuenta que solo cambiamos la frase de contraseña asignada a su espacio. LUKS además tiene la esencia maestra y no se puede modificar sin retornar a reducir. La esencia maestra se utiliza para descifrar los datos del contenedor LUKS sin una frase de contraseña e incluso sin el encabezado LUKS. En otras palabras, si la esencia maestra se ve comprometida, se debe borrar todo el dispositivo para evitar un anciano camino. Le sugiero insistentemente que lea la documentación de LUKS en columna o la página man escribiendo el ulterior comando man:$ man cryptsetup
$ man crypttab