Как изменить пароль GELI в системе FreeBSD 11 Root-On-ZFS с зеркальным RAID?

Question

Как изменить пароль GELI в системе FreeBSD 11 Root-On-ZFS с зеркальным RAID?

Сменные устройства также отражаются и шифруются.

У меня есть устройства /dev/ada0p5.eli /dev/ada1p5.eli и /dev/mirror/swap.eli.

Благодарю вас.

3

raid freebsd zfs encryption passphrase

Источник

Norbert 16 дек '16 в 15:23

1 ответ

Другие вопросы по тегам raid freebsd zfs encryption passphrase

hoeni 18 мар '17 в 11:10 2017-03-18 11:10 · Answer 1 · 2017-03-18 11:10

В стандартной установке FreeBSD 11 с ZFS на зашифрованных дисках вы можете изменить ключ шифрования для ваших дисков с данными, только когда вы снимаете устройство с зеркала.

Диски с данными:

При ванильной установке зашифрованными устройствами являются da0p3.eli и da1p3.eli, в вашем случае вам придется повторить процедуру для ваших устройств (ada0p5.eli, ada1p5.eli):

$ zpool status
NAME           STATE     READ WRITE CKSUM
tank           ONLINE       0     0     0
  mirror-0     ONLINE       0     0     0
    da0p3.eli  ONLINE       0     0     0
    da1p3.eli  ONLINE       0     0     0

$ zpool offline tank da0p3.eli    # take one drive off the mirror

$ zpool status
NAME                     STATE     READ WRITE CKSUM
tank                     DEGRADED     0     0     0
  mirror-0               DEGRADED     0     0     0
    7324435067442038086  OFFLINE      0     0     0  was /dev/da0p3.eli
    da1p3.eli            ONLINE       0     0     0

$ geli detach da0p3.eli           # detach encryption

$ geli setkey da0p3               # set new encryption pass phrase
Enter passphrase: 
Enter new passphrase: 
Reenter new passphrase: 

$ geli attach da0p3               # reattach with new pass phrase
Enter passphrase: 

$ zpool online tank da0p3.eli     # take the drive online again to the mirror

Теперь подождите, пока диск снова не будет восстановлен. Это должно быть быстрым, если между ними не было много записей, содержимое диска не было изменено, потому что мастер-ключ остался прежним, изменился только его пароль:

$ zpool status
NAME           STATE     READ WRITE CKSUM
tank           ONLINE       0     0     0
  mirror-0     ONLINE       0     0     0
    da0p3.eli  ONLINE       0     0     0
    da1p3.eli  ONLINE       0     0     0

Теперь, когда все снова работает, вы должны применить ту же процедуру ко второму диску.

Поменять диски

При ванильной установке свежий случайный ключ для ваших дисков подкачки будет генерироваться при каждой загрузке снова и впоследствии забываться, поэтому никаких изменений не требуется (ваша парольная фраза там не используется).

Опасность!

Обратите внимание: несмотря на то, что у вас есть один диск без зеркала, он уязвим для потери данных при сбое оставшегося диска. Вы можете избежать этого, добавив временный третий диск к зеркалу, прежде чем вы смените ключ, и снова удалите его, как только закончите всю процедуру.