Назад | Перейти на главную страницу

Как изменить кодовую фразу GELI в системе FreeBSD 11 Root-On-ZFS с зеркальным RAID?

Как изменить кодовую фразу GELI в системе FreeBSD 11 Root-On-ZFS с зеркальным RAID?

Устройства подкачки также зеркалируются и зашифровываются.

У меня есть устройства /dev/ada0p5.eli /dev/ada1p5.eli и /dev/mirror/swap.eli.

Спасибо.

В стандартной версии FreeBSD 11, установленной с ZFS на зашифрованных дисках, вы можете изменить ключ шифрования для своих дисков с данными только при отключении устройства зеркала.

Диски с данными:

В ванильной установке зашифрованными устройствами являются da0p3.eli и da1p3.eli, в вашем случае вам придется повторить процедуру для имеющихся у вас устройств (ada0p5.eli, ada1p5.eli):

$ zpool status
NAME           STATE     READ WRITE CKSUM
tank           ONLINE       0     0     0
  mirror-0     ONLINE       0     0     0
    da0p3.eli  ONLINE       0     0     0
    da1p3.eli  ONLINE       0     0     0

$ zpool offline tank da0p3.eli    # take one drive off the mirror

$ zpool status
NAME                     STATE     READ WRITE CKSUM
tank                     DEGRADED     0     0     0
  mirror-0               DEGRADED     0     0     0
    7324435067442038086  OFFLINE      0     0     0  was /dev/da0p3.eli
    da1p3.eli            ONLINE       0     0     0

$ geli detach da0p3.eli           # detach encryption

$ geli setkey da0p3               # set new encryption pass phrase
Enter passphrase: 
Enter new passphrase: 
Reenter new passphrase: 

$ geli attach da0p3               # reattach with new pass phrase
Enter passphrase: 

$ zpool online tank da0p3.eli     # take the drive online again to the mirror

Теперь подождите, пока диск снова не будет восстановлен. Это должно быть быстро, если между ними не было много записей, содержимое диска не было изменено, потому что главный ключ все тот же, изменился только его пароль:

$ zpool status
NAME           STATE     READ WRITE CKSUM
tank           ONLINE       0     0     0
  mirror-0     ONLINE       0     0     0
    da0p3.eli  ONLINE       0     0     0
    da1p3.eli  ONLINE       0     0     0

Теперь, когда все снова в порядке, вы должны применить ту же процедуру ко второму диску.

Поменять диски местами

При ванильной установке новый случайный ключ для ваших своп-дисков будет снова генерироваться при каждой загрузке и впоследствии забываться, поэтому никаких изменений не требуется (ваша парольная фраза там не используется).

Опасность!

Обратите внимание: хотя у вас есть один диск вне зеркала, он уязвим для потери данных, когда оставшийся диск выходит из строя. Вы можете избежать этого, добавив к зеркалу временный третий диск и дождавшись его восстановления, прежде чем менять ключ и удалять его снова после завершения всей процедуры.