Вопросы Теги

Как изменить кодовую фразу GELI в системе FreeBSD 11 Root-On-ZFS с зеркальным RAID?

Как изменить кодовую фразу GELI в системе FreeBSD 11 Root-On-ZFS с зеркальным RAID?

Устройства подкачки также зеркалируются и зашифрованы.

У меня есть устройства /dev/ada0p5.eli /dev/ada1p5.eli и /dev/mirror/swap.eli.

Спасибо.

3
задан 16 December 2016 в 17:23
1 ответ

В ванильной установке FreeBSD 11 с ZFS на зашифрованные диски вы можете изменить ключ шифрования для дисков с данными, только когда вы снимаете устройство зеркала.

Диски с данными:

В ванильной установке зашифрованные устройства da0p3.eli и da1p3.eli, в вашем случае вам придется повторить процедуру для имеющихся у вас устройств (ada0p5.eli, ada1p5.eli):

$ zpool status
NAME           STATE     READ WRITE CKSUM
tank           ONLINE       0     0     0
  mirror-0     ONLINE       0     0     0
    da0p3.eli  ONLINE       0     0     0
    da1p3.eli  ONLINE       0     0     0

$ zpool offline tank da0p3.eli    # take one drive off the mirror

$ zpool status
NAME                     STATE     READ WRITE CKSUM
tank                     DEGRADED     0     0     0
  mirror-0               DEGRADED     0     0     0
    7324435067442038086  OFFLINE      0     0     0  was /dev/da0p3.eli
    da1p3.eli            ONLINE       0     0     0

$ geli detach da0p3.eli           # detach encryption

$ geli setkey da0p3               # set new encryption pass phrase
Enter passphrase: 
Enter new passphrase: 
Reenter new passphrase: 

$ geli attach da0p3               # reattach with new pass phrase
Enter passphrase: 

$ zpool online tank da0p3.eli     # take the drive online again to the mirror

Теперь подождите, пока диск не будет снова зашифрован. Это должно быть быстро, если между ними не было много записей, содержимое диска не было изменено, потому что мастер-ключ остался прежним, изменился только пароль:

$ zpool status
NAME           STATE     READ WRITE CKSUM
tank           ONLINE       0     0     0
  mirror-0     ONLINE       0     0     0
    da0p3.eli  ONLINE       0     0     0
    da1p3.eli  ONLINE       0     0     0

Теперь, когда все снова встало на свои места, вы должны применить ту же самую процедуру ко второму диску.

Сменные диски

В ванильной установке при каждой загрузке снова будет генерироваться свежий случайный ключ для сменных дисков, который потом будет забыт, так что никаких изменений не требуется (ваша парольная фраза там не используется).

Опасность!

Пожалуйста, обратите внимание: пока у вас есть один диск с зеркала, он подвержен потере данных, когда оставшийся диск выходит из строя. Вы можете избежать этого, добавив временный третий диск к зеркалу до того, как вы измените ключ и удалите его снова, как только закончите всю процедуру.

.
1
ответ дан 3 December 2019 в 07:23

Теги

Похожие вопросы