В ванильной установке FreeBSD 11 с ZFS на зашифрованные диски вы можете изменить ключ шифрования для дисков с данными, только когда вы снимаете устройство зеркала.
Диски с данными:
В ванильной установке зашифрованные устройства da0p3.eli и da1p3.eli, в вашем случае вам придется повторить процедуру для имеющихся у вас устройств (ada0p5.eli, ada1p5.eli):
$ zpool status
NAME STATE READ WRITE CKSUM
tank ONLINE 0 0 0
mirror-0 ONLINE 0 0 0
da0p3.eli ONLINE 0 0 0
da1p3.eli ONLINE 0 0 0
$ zpool offline tank da0p3.eli # take one drive off the mirror
$ zpool status
NAME STATE READ WRITE CKSUM
tank DEGRADED 0 0 0
mirror-0 DEGRADED 0 0 0
7324435067442038086 OFFLINE 0 0 0 was /dev/da0p3.eli
da1p3.eli ONLINE 0 0 0
$ geli detach da0p3.eli # detach encryption
$ geli setkey da0p3 # set new encryption pass phrase
Enter passphrase:
Enter new passphrase:
Reenter new passphrase:
$ geli attach da0p3 # reattach with new pass phrase
Enter passphrase:
$ zpool online tank da0p3.eli # take the drive online again to the mirror
Теперь подождите, пока диск не будет снова зашифрован. Это должно быть быстро, если между ними не было много записей, содержимое диска не было изменено, потому что мастер-ключ остался прежним, изменился только пароль:
$ zpool status
NAME STATE READ WRITE CKSUM
tank ONLINE 0 0 0
mirror-0 ONLINE 0 0 0
da0p3.eli ONLINE 0 0 0
da1p3.eli ONLINE 0 0 0
Теперь, когда все снова встало на свои места, вы должны применить ту же самую процедуру ко второму диску.
Сменные диски
В ванильной установке при каждой загрузке снова будет генерироваться свежий случайный ключ для сменных дисков, который потом будет забыт, так что никаких изменений не требуется (ваша парольная фраза там не используется).
Опасность!
Пожалуйста, обратите внимание: пока у вас есть один диск с зеркала, он подвержен потере данных, когда оставшийся диск выходит из строя. Вы можете избежать этого, добавив временный третий диск к зеркалу до того, как вы измените ключ и удалите его снова, как только закончите всю процедуру.
.