Comment changer le mot de passe d'un système LVM crypté (fait avec l'installation alternative)?


65

J'ai installé Ubuntu 11.10 avec le CD de remplacement et crypté le système entier (sauf le démarrage) avec LVM crypté. Tout fonctionne très bien comme avant, mais je voudrais changer le mot de passe du LVM crypté. J'ai essayé de suivre les astuces de cet article , mais cela ne fonctionne pas. Après avoir tapé:

sudo cryptsetup luksDump /dev/sda5

Il dit: "Le périphérique / dev / sd5 n'existe pas ou l'accès est refusé." Je pensais que la partition chiffrée était / dev / sda5. Toute aide, comment changer le mot de passe?


1
Oups, c'était vraiment une faute de frappe! J'ai toujours tapé / dev / sd5 au lieu de / dev / sd5. Merci Hamish pour l'allusion. Donc, je réponds à la question avec les informations d'Andreas Härter (blog.andreas-haerter.com/2011/06/18/ubuntu-full-disk-encryption-lvm-luks#tips_and_tricks)
Filbuntu 5/05

Réponses:


63

Voici la réponse qui a fonctionné pour moi, après que Hamish m'a aidé à réaliser ma faute de frappe.

AVERTISSEMENT (pour les anciennes versions d'Ubuntu, les plus récentes (par exemple, 19.04) devraient être corrigées, mais soyez prudent): Si vous n'avez qu'une clé et que vous la retirez avant d'en ajouter une autre, vous rendrez votre disque inaccessible après le redémarrage! Cela signifie également que vous ne pouvez plus ajouter de nouvelle clé par la suite. Merci waffl et khaimovmr pour ces commentaires utiles.

Tout d’abord, vous devez savoir quelle est la partition LVM chiffrée , c’est sda3, mais c’est aussi sda5 (par défaut pour Ubuntu LVM), sdX2, ...:

cat /etc/crypttab

Pour ajouter un nouveau mot de passe, utilisez luksAddKey:

sudo cryptsetup luksAddKey /dev/sda3

Pour supprimer un mot de passe existant, utilisez luksRemoveKey:

sudo cryptsetup luksRemoveKey /dev/sda3

Affichez les emplacements actuellement utilisés de la partition chiffrée:

sudo cryptsetup luksDump /dev/sda3

Cité de ce blog . Merci.

Dans Ubuntu 18.04, il existe une autre possibilité, utilisant des disques (Gnome) . Merci pour l’ allusion , Greg Lever , après avoir cliqué, j'ai trouvé ce que Greg a mentionné:
1. Ouvrez Gnome Disks.
2. Choisissez / Cliquez sur le disque dur physique principal dans le panneau de gauche.
3. Cliquez sur la partition chiffrée LUKS, dans cet exemple, il s'agit de la partition 3: 4. Cliquez sur l'icône d'édition (rouages, roues dentées) et choisissez "Modifier la paraphrase".Captures d'écran Gnome


1
Est-ce que cela signifie que vous pouvez avoir plus d'un mot de passe pour déchiffrer le disque?
bph

5
Vous pouvez. Je l'ai testé
bph

1
Il y a des créneaux horaires - huit d'entre eux je crois. Chaque emplacement est une option de déverrouillage. Peut-être 8 mots de passe si vous vouliez.
Cookie

3
AVERTISSEMENT Il devrait y avoir un disclaimer au-dessus de cette réponse, à savoir que si vous supprimez la clé unique avant d'en ajouter une autre, vous rendrez votre disque inaccessible après le redémarrage!
gaufre

1
AVERTISSEMENT Le disque est non seulement inutilisable APRÈS LA RÉINITIALISATION, lorsque vous avez supprimé la dernière clé, mais vous ne pouvez pas ajouter de nouvelles clés après cela!
KhaimovMR

28

Téléchargez "Disques" à partir du Gestionnaire de logiciels. Exécuter. Sélectionnez votre partition de périphérique cryptée. Cliquez sur l'icône d'engrenage. Sélectionnez "Changer le mot de passe". C'est ça


14

Pour voir les slots utilisés:

sudo cryptsetup luksDump /dev/sda5

Et pour savoir quelle partition utiliser

cat /etc/crypttab

Et si elle est répertoriée par uuid, utilisez

ls -l /dev/disk/by-uuid/{insert your uuid here}

Puis utiliser

sudo cryptsetup luksAddKey /dev/sda5
sudo cryptsetup luksRemoveKey /dev/sda5

ou

sudo cryptsetup luksChangeKey /dev/sda5

et pour une référence plus rapide (en supposant qu'une seule entrée dans / etc / crypttab)

sudo cryptsetup luksAddKey /dev/disk/by-uuid/$(cat /etc/crypttab | sed -e "s|\(.*\) UUID=\(.*\) none.*|\2|g")
sudo cryptsetup luksChangeKey /dev/disk/by-uuid/$(cat /etc/crypttab | sed -e "s|\(.*\) UUID=\(.*\) none.*|\2|g")

+1 pour expliquer quoi faire quand la cat /etc/crypttabliste est uuid.
Antony

13

Sans réfléchir, la phrase secrète était très longue et il est devenu pénible de dactylographier. J'ai fini par utiliser ce qui suit pour le changer en quelque chose de plus gérable.

sudo cryptsetup luksChangeKey /dev/sda5

6

La partition chiffrée est peut-être /dev/sda5en train d’ utiliser (notez le a dans sda5) et c’est le périphérique que vous devez probablement utiliser (à moins que cela ne soit qu’une faute de frappe dans votre question).

Cependant, le périphérique crypté lui-même aura un autre nom - quelque chose comme /dev/mapper/cryptroot. Pour le nom de l'appareil, vous pouvez:

  • regardez dans le fichier /etc/crypttab- cela contiendra à la fois la partition et le nom du mappeur, mais seulement pour les partitions permanentes
  • lancez mountet voyez quel est le nom du mappeur - ceci est utile lorsque vous avez branché un disque crypté via USB. (Bien que je ne sois pas sûr de savoir comment trouver ensuite le nom du périphérique sous-jacent).

2

Sur Ubuntu 18.04, exécutez gnome-disks-vous et vous pouvez pointer et cliquer pour changer la phrase secrète du cryptage.


1

J'ai eu des problèmes pour localiser le nom de la partition, alors j'ai créé ce guide:

  1. Localisez votre partition LMV

    # install jq if you don't have it
    sudo apt-get install jq
    
    # find LVM partition
    LVMPART=$(lsblk -p --json | jq -r '.blockdevices[] | select(.children) | .children[] | select(.children) as $partition | .children[] | select(.type == "crypt") | $partition.name')
    
    # check if it was found
    echo $LVMPART
    
        # (optional)
        # if above output is empty, locate it in a tree view using this command
        lsblk -p
    
        # partition `/dev/some_name` should be the parent object of the one with TYPE of `crypt`, set it
        LVMPART=`/dev/some_name`
    
  2. Vérifiez la méta de la partition LVM en la vidant

    sudo cryptsetup luksDump $LVMPART
    
  3. Ajouter une nouvelle clé (vous pouvez avoir plusieurs clés)

    sudo cryptsetup luksAddKey $LVMPART
    
  4. Après avoir à nouveau vidé, vous devriez voir plusieurs clés

    sudo cryptsetup luksDump $LVMPART
    
  5. Supprimer l'ancienne clé si vous le souhaitez

    sudo cryptsetup luksRemoveKey $LVMPART
    
En utilisant notre site, vous reconnaissez avoir lu et compris notre politique liée aux cookies et notre politique de confidentialité.
Licensed under cc by-sa 3.0 with attribution required.