geli setkey /var/backup/da4.eli

[rolle]

Moin, zusammen.
Ich versuche, so wie in der manpage beschrieben ein:

geli setkey /var/backups/da4.eli

den schlüssel zu ändern.
Daß klappt auch. Wenn ich jetzt aber die geänderten Metadaten(mit dem neuen passwort) mittels

geli restore /var/backups/da4.eli /dev/da4

zurück spielen will, klappt das leider nicht.

geli: Cannot read from /var/backups/da4.eli: No such file or directory.

Die manpage sagt dazu:

The key can always be changed: for an attached
provider, for a detached provider or on the backup file.

Ausserdem ist mir aufgefallen, daß das veränderte Metadatenbackup statt 512 Byte, nur 511 Byte groß ist.
Nun frage ich mich natürlich, wieso soll ich ein Passwort ändern, wenn ich es anschließend nicht benutzen kann.
Oder habe ich etwas übersehen, und Peter mit Huth hat sich wieder eingeschlichen?
(9.0-RC1)

gruß rolle

 

[Yamagi]

Ich ändere das Passwort immer direkt auf dem (geöffneten) Provider: geli setkey /dev/da4 Anschließend erstelle ich ein neues Metadaten-Backup.

 

[rakso]

wie kann man ein gesetztes Passwort entfernen oder nachträglich eins hinzufügen?

 

[Kamikaze]

Der Schlüssel liegt auf der Festplatte und ändert sich nicht. Wenn man das Passwort ändert, wird einfach bloß der Schlüssel neu verschlüsselt.

 

[rakso]

also ich verzweifel noch am einfachen pw-ändern bei geli mit key.

mit -p gehts garnicht:

# geli setkey -n 0 -p -k /root/keys/ada0.key /dev/ada0p2
geli: Wrong key for /dev/ada0p2.8

ohne -p:

geli setkey -n 0 -k /root/keys/ada0.key /dev/ada0p2
Enter passphrase:
Enter new passphrase:
Reenter new passphrase:
Note, that the master key encrypted with old keys and/or passphrase may
still exists in a metadata backup file.

... wird das neu gesetzte passwort nicht akzeptiert.

geli attach -k /root/keys/ada0.key /dev/ada0p2
Enter passphrase:
geli: Wrong key for ada0p2.

hab jeweils einfache und kurze PWs genommen, verwechslung augseschlossen.

was mach ich da falsch?

 

[danvari]

Naja versuch mal

geli attach /dev/ada0p2

mit deinem neuen Passwort

du hast bei setkey ein "-k" angegeben (altes Keyfile), allerdings kein neues Keyfile mit "-K" (das auch das alte sein kann).

 

[rakso]

ahh danke! also muss ich -k key -K key (weil gleich) angeben.
oder kann man in dem fall dann -k und -K weglassen, wenn sich nur das passw. und nicht das keyfile änden soll?

 

[danvari]

geli muss ja den Mount-Key neu verschlüsseln, wenn du dein Passwort änderst. Dafür muss geli den Mount-Key kennen, der in deinem Fall nur durch Keyfile+Passwort bekannt ist. Daher muss der Keyfile mit angegeben werden .

 

[Bummibaer]

Hi,
also zum Thema ändern - ich hab das bärig durchgespielt auf http://nopaste.yamagi.org/?21470 nachzuguggen hinterlegt isch.
Gruß Bummibär

 

[rakso]

danke. nun hats geklappt!
allerdings ist das system gecrasht (reboot) als ich


bei geli detach -f /dev/ada0p2

im laufenden betrieb (zfs im betrieb) eingegeben habe. dachte nicht, dass freebsd so schnell aufgibt...


Wie ist das zu interpretieren?

"Note, that the master key encrypted with old keys and/or passphrase may still exists in a metadata backup file."


also noch /var/backups/*.eli löschen ? wozu braucht man diese dateien?


Danke für eure Hilfe!