我如何在FreeBSD中更改/replaceencryption的eli提供者的密码? 我是否需要重新创build整个提供者并复制数据,还是有更简单快捷的方法?
我查看了man页面(这导致我认为有可能通过geli init做到这一点)并将其search到,但找不到明确的答案。
你使用geli setkey 。 要从现有的键+短语更改为新的键+短语,您需要指定旧的和新的一对,如下所示:
$ geli setkey -v -k /boot/old.key -K /boot/new.key /dev/md9 Enter passphrase: oldphrase Enter new passphrase: newphrase Reenter new passphrase: newphrase Decrypted Master Key 0. Note, that the master key encrypted with old keys and/or passphrase may still exists in a metadata backup file. Done.
如果您的旧密钥没有密码,请添加-p ,如果您希望新密钥没有密码,请添加-P 。 你不需要先分离,而且你也不需要复制所有的数据。 不要忘记备份元数据,不要忘记在更改密钥/密码之后更新它。
重要提示:如果您正在使用启动时密码input(对于encryption的根分区),并且正在从密钥+短语更改为密钥而没有密码( -P以上),则还必须使用geli configure -B禁用启动时密码短语提示。 此外,如果您更改了密钥文件位置,则需要编辑/boot/loader.conf以指向新的密钥文件。
有人试过,但失败了。 不记得是谁,但是大约两年前。 如果您想要安全,请复制并重新初始化。
我刚读了一个谷歌search结果(谷歌ddnt有caching,但节选仍然显示):
geli detach /dev/md9
接着
geli setkey ...
但我不能保证一切都会好起来的。
这也似乎是从密码更改为密钥文件的方式。