更改LUKS密码

Question

我试着修改我的密码。

我使用的资料来源：https://www.linuxexperten.com/content/how-do-i-change-my-luks-encryption-password-and-more

我有单独的分区，用于引导、根、交换和主页。为了确保哪些分区具有Luks：

blkid -t TYPE=crypto_LUKS -o device
/dev/sda5
/dev/sda6
/dev/sda7

然后检查sda5占用了多少插槽。

$ sudo cryptsetup luksDump /dev/sda5 |grep Key.Slot

Key Slot 0: ENABLED
Key Slot 1: DISABLED
Key Slot 2: DISABLED
Key Slot 3: DISABLED
Key Slot 4: DISABLED
Key Slot 5: DISABLED
Key Slot 6: DISABLED
Key Slot 7: DISABLED

显然根用户可以使用主键添加一个新键：

$ sudo dmsetup ls --target crypt

swapfs  (254, 2)
rootfs  (254, 0)
homefs  (254, 1)

但是我说，让我检查其他分区sda6 &7，看看占用了多少插槽。two已经占用了 before，更改了密码。

$ sudo cryptsetup luksDump /dev/sda6 |grep Key.Slot

Key Slot 0: ENABLED
Key Slot 1: ENABLED
Key Slot 2: DISABLED
Key Slot 3: DISABLED
Key Slot 4: DISABLED
Key Slot 5: DISABLED
Key Slot 6: DISABLED
Key Slot 7: DISABLED


$ sudo cryptsetup luksDump /dev/sda7 |grep Key.Slot

Key Slot 0: ENABLED
Key Slot 1: ENABLED
Key Slot 2: DISABLED
Key Slot 3: DISABLED
Key Slot 4: DISABLED
Key Slot 5: DISABLED
Key Slot 6: DISABLED
Key Slot 7: DISABLED

我知道这三个分区都有相同的密码。我没有卢克斯的任何其他密码。这是否意味着<#>“其他人可以访问”这两个分区？

Answer 1

在引导过程中，您需要输入多少次密码？如果只有一次，就有可能其中一个插槽被用来“链接”加密：

1. 输入密码/短语以解锁分区A
2. 分区A有一个文件，该文件包含一个长的随机生成的密码(密钥)，用于B和C分区。
3. 分区B和C使用分区A的密码自动解锁。

您可能会在/etc/crypttab中看到这方面的证据，这将显示密钥文件的位置。

PS:如果有人想秘密地访问您加密的数据，并且有足够的权限安装另一个密钥，他们只需获取主密钥的副本即可。这将不会留下任何证据，并允许解密，无论密码的变化。解决这个问题的唯一方法是重新加密整个分区。(简而言之，LUKS通过使用密码来加密主密钥来工作。然后使用主密钥对分区进行加密。这就是为什么不需要重新加密整个驱动器就可以更改密码的原因。)