Как я могу изменить / заменить парольную фразу зашифрованного eli провайдер во FreeBSD? Придется ли мне воссоздавать всего поставщика и копировать данные или есть более простой и быстрый способ?
Я просмотрел страницы руководства (что наводит меня на мысль, что есть способ сделать это через geli init) и погуглил, но не нашел однозначного ответа.
Ты используешь geli setkey. Чтобы изменить существующий ключ + фразу на новый ключ + фразу, вам необходимо указать как старую, так и новую пару, например:
$ geli setkey -v -k /boot/old.key -K /boot/new.key /dev/md9
Enter passphrase: oldphrase
Enter new passphrase: newphrase
Reenter new passphrase: newphrase
Decrypted Master Key 0.
Note, that the master key encrypted with old keys and/or passphrase may still exists in a metadata backup file.
Done.
Если у вашего старого ключа не было кодовой фразы, добавьте -p, и если вы хотите, чтобы ваш новый ключ был без ключевой фразы, добавьте -P. Вам не нужно сначала отсоединяться, и вам, конечно, не нужно копировать все свои данные. Сохраняйте резервную копию своих метаданных для спокойствия и не забывайте обновлять ее после изменения ключей / парольных фраз.
Важный: Если вы используете запись парольной фразы при загрузке (для зашифрованных корневых разделов) и меняете ключ + фразу на ключ без парольной фразы (-P выше), вы также должны отключить запрос парольной фразы при загрузке с помощью geli configure -B. Кроме того, если вы изменили расположение ключевых файлов, вам необходимо отредактировать /boot/loader.conf чтобы указать на новый ключевой файл.
Кто-то пробовал, но не получилось. Не помню кто, но это было года 2 назад. Если вы хотите быть в безопасности, сделайте копию и перезапустите.
Я только что прочитал это в мертвом результате поиска Google (google ddnt сохранил его в кеше, но отрывок все еще отображается):
geli detach /dev/md9
а потом
geli setkey ...
Но не гарантирую, что все будет хорошо.
Похоже, это также способ перехода от ключевой фразы к ключевым файлам.