Как вызвать изменение пароля LUKS через каждые 90 дней?

[117011] Я думаю, что, возможно, есть некоторая вводящая в заблуждение информация о том, как [117362] форматировать [117363] раздел с GParted, например, эта страница [117364] "Как отформатировать USB-накопитель в Ubuntu с помощью GParted".

Для того, чтобы действительно иметь возможность использовать раздел как этот тип, на нем должна быть создана файловая система. GParted может это сделать, но мне кажется, что вы должны это сделать явно ([117368]смотрите здесь[117369]).

  1. Чтобы повторить: есть разница между созданием раздела и установкой типа файловой системы, которую он должен содержать, и фактическим форматированием раздела с определённым типом файловой системы. Необходимо сделать и то, и другое для того, чтобы раздел был пригоден для использования.[117016]

1
14.03.2014, 16:22
2 ответа

В этом нет особого смысла. Обычно смысл регулярной смены паролей заключается в том, что если кто-то узнал ваш пароль, вы ограничиваете продолжительность его использования. Но пароль LUKS используется для расшифровки главного ключа тома LUKS, который фактически используется для шифрования данных, поэтому, если кто-то узнает ваш пароль, он может использовать его для получения этого главного ключа. Изменение пароля не изменяет главный ключ - помните, что это ключ, используемый для фактического шифрования данных; его изменение потребует повторного шифрования всего диска, поэтому вы не лишите злоумышленника доступа к диску.

(Обратите внимание, это предполагает наличие технически сложного злоумышленника, человека, способного найти или написать программу для разблокировки тома LUKS, используя главный ключ напрямую, а не парольную фразу ключевого слота.Смена паролей может помочь против того, кто знает, как взаимодействовать только с обычным запросом пароля LUKS, но против кого-то вроде этого вам, вероятно, вообще не нужно шифрование диска.)

3
27.01.2020, 23:21
[119328]AFAIK для этого нет инструментов. Вам нужно сохранить данные (из заголовка раздела LUKS) и сравнить зашифрованные пароли (их должно быть 8), чтобы убедиться, что они изменены (умный пользователь может изменить пароль и добавить старый в один из разных слотов).[12169]Хорошей политикой является сохранение старых зашифрованных паролей, чтобы можно было проверить, не перепутал ли кто-нибудь использование пароля A и пароля B.[119331]
1
27.01.2020, 23:21

Теги

Похожие вопросы