¿Cómo cambiar la contraseña de un sistema LVM encriptado (hecho con la instalación alternativa)?

65

Instalé Ubuntu 11.10 con el CD alternativo y cifré todo el sistema (excepto el arranque) con el LVM cifrado. Todo funciona tan bien como antes, pero me gustaría cambiar la contraseña del LVM cifrado. Traté de seguir los consejos y trucos de este artículo , pero no funciona. Después de escribir:

sudo cryptsetup luksDump /dev/sda5

Dice: "Dispositivo / dev / sd5 no existe o acceso denegado". Pensé que la partición encriptada es / dev / sda5. ¿Alguna ayuda para cambiar la contraseña?

Filbuntu
fuente
1
¡Vaya, de hecho fue un error tipográfico! Siempre escribí / dev / sd5 en lugar de / dev / sd5. Gracias Hamish por la pista. Entonces respondo la pregunta con la información de Andreas Härter (blog.andreas-haerter.com/2011/06/18/ubuntu-full-disk-encryption-lvm-luks#tips_and_tricks)
Filbuntu
2
posible duplicado de ¿Cómo cambiar la frase de contraseña LUKS?
Gilles 'SO- deja de ser malvado'

Respuestas:

63

Aquí está la respuesta que funcionó para mí, después de que Hamish me ayudó a realizar mi error tipográfico.

ADVERTENCIA (para versiones anteriores de Ubuntu, las más nuevas (p. Ej., 19.04) deben ser reparadas, pero tenga cuidado de todos modos): ¡ Si solo tiene una clave y la elimina antes de agregar otra, hará que su disco sea inaccesible después de reiniciar! Esto también significa que ya no puede agregar una nueva clave después. Gracias waffl y khaimovmr por estos útiles comentarios.

Primero, debe averiguar cuál es la partición LVM cifrada , puede ser sda3, pero también puede ser sda5 (predeterminado en Ubuntu LVM), sdX2, ...:

cat /etc/crypttab

Para agregar una nueva contraseña, use luksAddKey:

sudo cryptsetup luksAddKey /dev/sda3

Para eliminar una contraseña existente, use luksRemoveKey:

sudo cryptsetup luksRemoveKey /dev/sda3

Ver las ranuras utilizadas actualmente de la partición cifrada:

sudo cryptsetup luksDump /dev/sda3

Citado de este blog . Gracias.

En Ubuntu 18.04 hay otra posibilidad, usar discos (Gnome) . Gracias por la pista , Greg Lever , después de hacer clic, encontré lo que Greg mencionó:
1. Abra los discos de Gnome.
2. Elija / haga clic en el disco duro físico principal en el panel izquierdo.
3. Haga clic en la partición cifrada LUKS, en este ejemplo es la Partición 3: 4. Haga clic en el icono de edición (engranajes, ruedas dentadas) y elija "Cambiar paráfrasis".Captura de pantalla de discos de gnomo

Filbuntu
fuente
1
¿Esto implica que puede tener más de una contraseña para desencriptar el disco?
bph
55
Usted puede. Lo probé
bph
1
Hay máquinas tragamonedas, ocho de ellas, creo. Cada ranura es una opción de desbloqueo. Podrían ser 8 contraseñas si quisieras.
Cookie
3
ADVERTENCIA Debería haber un descargo de responsabilidad por encima de esta respuesta de que si elimina la única clave antes de agregar otra, hará que su disco sea inaccesible después de reiniciar.
waffl
1
ADVERTENCIA ¡ El disco no solo no se puede usar DESPUÉS DEL REINICIO, cuando haya eliminado la última clave, sino que NO PUEDE AGREGAR NUEVAS CLAVES DESPUÉS DE ESO!
KhaimovMR
28

Descargue "Disks" del Administrador de software. Ejecutarlo. Seleccione la partición de su dispositivo cifrado. Haz clic en el ícono de ajustes. Seleccione "Cambiar frase de contraseña". Eso es

zoubak
fuente
14

Para ver las ranuras utilizadas:

sudo cryptsetup luksDump /dev/sda5

Y para averiguar qué partición usar

cat /etc/crypttab

Y si está listado por uuid, use

ls -l /dev/disk/by-uuid/{insert your uuid here}

Luego usa

sudo cryptsetup luksAddKey /dev/sda5
sudo cryptsetup luksRemoveKey /dev/sda5

o

sudo cryptsetup luksChangeKey /dev/sda5

y para una referencia más rápida (suponiendo solo 1 entrada en / etc / crypttab)

sudo cryptsetup luksAddKey /dev/disk/by-uuid/$(cat /etc/crypttab | sed -e "s|\(.*\) UUID=\(.*\) none.*|\2|g")
sudo cryptsetup luksChangeKey /dev/disk/by-uuid/$(cat /etc/crypttab | sed -e "s|\(.*\) UUID=\(.*\) none.*|\2|g")
Galleta
fuente
+1 para explicar qué hacer cuando las cat /etc/crypttablistas uuid.
Antony
13

Sin pensarlo, configuré la frase de contraseña para que sea realmente larga, y se convirtió en un dolor de escribir. Terminé usando lo siguiente para cambiarlo a algo más manejable.

sudo cryptsetup luksChangeKey /dev/sda5
jc00ke
fuente
6

La partición cifrada puede estar usando /dev/sda5(tenga en cuenta la a en sda5) y ese es el dispositivo que probablemente necesite usar (a menos que sea solo un error tipográfico en su pregunta).

Sin embargo, el dispositivo encriptado tendrá otro nombre, algo así /dev/mapper/cryptroot. Para el nombre del dispositivo, podría:

  • busque en el archivo /etc/crypttab: esto tendrá tanto la partición como el nombre del mapeador, pero solo para particiones permanentes
  • ejecutar mounty ver cuál es el nombre del mapeador: esto es útil cuando ha conectado un disco cifrado a través de USB. (Aunque no estoy seguro de cómo encontrar el nombre real del dispositivo subyacente).
Hamish Downer
fuente
2

En Ubuntu 18.04 ejecute gnome-disksy puede apuntar y hacer clic para cambiar la frase de contraseña para el cifrado.

Greg Lever
fuente
1

Tuve problemas para localizar el nombre de la partición, así que creé esta guía:

  1. Localice su partición LMV

    # install jq if you don't have it
    sudo apt-get install jq
    
    # find LVM partition
    LVMPART=$(lsblk -p --json | jq -r '.blockdevices[] | select(.children) | .children[] | select(.children) as $partition | .children[] | select(.type == "crypt") | $partition.name')
    
    # check if it was found
    echo $LVMPART
    
        # (optional)
        # if above output is empty, locate it in a tree view using this command
        lsblk -p
    
        # partition `/dev/some_name` should be the parent object of the one with TYPE of `crypt`, set it
        LVMPART=`/dev/some_name`
    
  2. Verifique la meta de la partición LVM descargándola

    sudo cryptsetup luksDump $LVMPART
    
  3. Agregar nueva clave (puede tener varias claves)

    sudo cryptsetup luksAddKey $LVMPART
    
  4. Después de volcarlo nuevamente, debería ver varias claves

    sudo cryptsetup luksDump $LVMPART
    
  5. Elimine la clave anterior si lo desea

    sudo cryptsetup luksRemoveKey $LVMPART
    
usuario2174835
fuente