Tutoriales

Cómo cambiar la frase de contraseña de LUKS en Linux


Wusamos secreto para proteger los dispositivos móviles. Por ejemplo, siempre uso el secreto de disco LUKS para proteger todos los archivos almacenados en mi SSD. El secreto de disco de código despejado Dm-crypt (Cryptsetup y LUKS) es un secreto de disco transparente y una excelente guisa de persistir sus datos seguros. Sin incautación, cambiar la frase de contraseña es un desafío para los nuevos usuarios y desarrolladores de Linux. Esta derrotero paso a paso explica cómo encontrar las ranuras LUKS que se le asignaron y cambiar su frase de contraseña en Debian / Ubuntu, CentOS / RHEL, OpenSUSE / SUSE y otras distribuciones de Linux.


Cómo cambiar la frase de contraseña de secreto de disco LUKS en Linux

Primero, necesitamos emplazar información sobre sistemas de archivos encriptados.

Paso 1: consulta el archivo / etc / crypttab en Linux

El archivo / etc / crypttab contiene información descriptiva sobre los sistemas de archivos cifrados LUKS y la aspecto con el comando cat:
sudo cat /etc/crypttab
Esto es lo que vi:

sda3_crypt UUID=42e50ed0-5055-45f5-b1fc-0f54669e6d1f none luks,discard>

Entonces tengo sda3_crypt. En su sistema, es posible que vea un nombre diferente, como md1_crypt para el secreto de disco LUKS protegido con RAID-1. Ahora obtuvimos información del dispositivo y es hora de encontrar el esquema de partición para sda3:
sudo fdisk -l /dev/sda
/ dev / sda3:


Disk /dev/sda: 931.5 GiB, 1000204886016 bytes, 1953525168 sectors
Disk model: CT1000MX500SSD1 
Units: sectors of 1 * 512 = 512 bytes
Sector size (logical/physical): 512 bytes / 4096 bytes
I/O size (minimum/optimal): 4096 bytes / 4096 bytes
Disklabel type: gpt
Disk identifier: 1BB1DDD0-47F9-48FB-AA29-69D6A74F4D91

Device       Start        End    Sectors   Size Type
/dev/sda1     2048    1050623    1048576   512M EFI System
/dev/sda2  1050624    1550335     499712   244M Linux filesystem
/dev/sda3  1550336 1953523711 1951973376 930.8G Linux filesystem

Asegúrese de sustituir / dev / sda3 con el nombre de su dispositivo positivo en Linux.

Paso 2: volcar la información del encabezado de un dispositivo LUKS

Ejecute el ulterior comando para obtener información sobre nuestro / dev / sda3 encriptado:
sudo cryptsetup luksDump /dev/sda3
Mi información de encabezado de partición / disco LUKS:


LUKS header information
Version:       	2
Epoch:         	4
Metadata area: 	16384 [bytes]
Keyslots area: 	16744448 [bytes]
UUID:          	42e50ed0-5055-45f5-b1fc-0f54669e6d1f
Label:         	(no label)
Subsystem:     	(no subsystem)
Flags:       	(no flags)

Data segments:
  0: crypt
	offset: 16777216 [bytes]
	length: (whole device)
	cipher: aes-xts-plain64
	sector: 512 [bytes]

Keyslots:
  0: luks2
	Key:        512 bits
	Priority:   común
	Cipher:     aes-xts-plain64
	Cipher key: 512 bits
	PBKDF:      argon2i
	Time cost:  7
	Memory:     1048576
	Threads:    4
	Salt:       fc 9d b7 e0 ec 06 d0 b1 47 09 61 6f c1 73 f9 51 
	            b7 ff 9b 6b 44 a0 2b c5 dd 5a c4 7e 46 28 c3 62 
	AF stripes: 4000
	AF hash:    sha256
	Area offset:32768 [bytes]
	Area length:258048 [bytes]
	Digest ID:  0
Tokens:
Digests:
  0: pbkdf2
	Hash:       sha256
	Iterations: 136107
	Salt:       40 82 65 fc cf e1 24 d3 0d b8 85 07 13 c7 dd a1 
	            03 52 6a b9 04 b8 6d 23 4a d1 90 89 cb 96 a7 ca 
	Digest:     5b d0 10 56 e4 9a ff e1 eb 14 2a fb 4d 85 ba c3 
	            a7 75 fa fa 6c 24 cc 01 b0 9c 34 dd 48 98 1a d9 


Parece que solo tengo la ranura 0, pero en muchos sistemas, es posible que vea hasta 8 ranuras numeradas del 0 al 7. Por lo tanto, en el paso 3, veremos cómo determinar su ranura LUKS.

Paso 3: investigar la ranura LUKS que le asignó el administrador de sistemas o el instalador de Linux

Para determinar en qué ranura luks se encuentra una frase de contraseña en Linux, ejecute:
sudo cryptsetup --verbose open --test-passphrase /path/to/dev/
sudo cryptsetup --verbose open --test-passphrase /dev/sda3

El comando le dirá la ranura LUKS correcta sin ninguna conjetura de su parte:

Enter passphrase for /dev/sda3: 
Key slot 0 unlocked.
Command successful.

Anote el número de ranura. En otras palabras, necesitamos usar el número de ranura 0 para / dev / sda3.

Paso 4: cambiar la frase de contraseña de secreto de disco LUKS en Linux usando la columna de comandos

Hasta ahora, todo está adecuadamente, obtuvimos toda la información necesaria para desempolvar o cambiar la frase de contraseña existente. Tenga en cuenta que una frase de contraseña es similar a una contraseña en uso, pero generalmente es más larga por razones de seguridad. La sintaxis es:
sudo cryptsetup luksChangeKey /dev/sda3 -S 0
Primero, ingrese la contraseña existente y presione el [Enter] espita. Si la frase de contraseña es correcta, puede cambiarla ingresándola dos veces de la ulterior guisa:

Enter passphrase to be changed: 
Enter new passphrase: 
Verify passphrase: 

Paso 5: compulsar la nueva contraseña

Reinicie el sistema Linux o simule una nueva frase de contraseña en la CLI de la ulterior guisa:
sudo cryptsetup --verbose open --test-passphrase /dev/sda3

Uso de la utensilio GUI ‘Discos y almacenamiento’ para cambiar la frase de contraseña

Los nuevos desarrolladores y usuarios de Linux pueden encontrar complicada toda la columna de comandos. Felizmente, los usuarios de escritorio de Linux pueden callar todos los pasos complicados y usar directamente la utilidad Disco y almacenamiento.

Besalamano a gnome-disks: la aplicación GNOME Disks

Gnome-disks es el comando para iniciar la aplicación GNOME Disks. Disks proporciona una forma de inspeccionar, formatear, particionar y configurar discos y estrechar dispositivos. Anconada la aplicación Terminal y luego escriba:
$ gnome-disks
Todavía podemos desobstruir Discos aplicación de la Ocupaciones descripción genérico de la GUI. Una vez despejado, elija el disco de la repertorio en el panel izquierdo y asegúrese de decidir LUKS. Haga clic en la opción de partición adicional y haga clic en Cambiar frase de contraseña:

Cómo cambiar su frase de contraseña / contraseña de secreto LUKS usando la GUI de Disks

Resumiendo

Explicamos los métodos GUI y CLI para desempolvar o reemplazar la frase de contraseña de secreto de disco LUKS existente en su sistema Linux. Tenga en cuenta que solo cambiamos la frase de contraseña asignada a su espacio. LUKS además tiene la esencia maestra y no se puede modificar sin retornar a reducir. La esencia maestra se utiliza para descifrar los datos del contenedor LUKS sin una frase de contraseña e incluso sin el encabezado LUKS. En otras palabras, si la esencia maestra se ve comprometida, se debe borrar todo el dispositivo para evitar un anciano camino. Le sugiero insistentemente que lea la documentación de LUKS en columna o la página man escribiendo el ulterior comando man:
$ man cryptsetup
$ man crypttab

Publicaciones relacionadas

Deja una respuesta

Tu dirección de correo electrónico no será publicada. Los campos obligatorios están marcados con *

Botón volver arriba