Как включить режим восстановления зон памяти в ядре Linux?
Мастер-ключ — это то, что шифрует диск. Все остальные ключи и пароли обеспечивают доступ только к мастер-ключу.
Причина этого в том, что если вы хотите изменить пароль LUKS (или иметь несколько паролей), необходимо зашифровать или повторно зашифровать лишь небольшой объем данных. Недостатком является то, что как только ваш главный ключ будет скомпрометирован, весь ваш набор данных будет скомпрометирован.
Поскольку ваш главный ключ больше не является безопасным, больше не имеет значения, какие у вас пароли LUKS. Скорее, на этом этапе вы должны заменить и перестроить весь том LUKS, убедившись, что у него есть новый главный ключ. Вы также должны изучить свои процедуры безопасности, чтобы определить, как ваш предыдущий главный ключ был скомпрометирован в первую очередь.
К счастью, инструмент cryptsetup-reencrypt позволит вам сделать это на месте при условии, что вы можете перевести том в автономный режим на время процесса. Как всегда, настоятельно рекомендуется заранее сделать резервную копию. Вывод из справочной страницы:
cryptsetup-reencryptможно использовать для изменения параметров повторного шифрования, которые в противном случае требуют полного изменения данных на диске (повторного шифрования). Вы можете повторно сгенерировать ключ тома (реальный ключ, используемый при шифровании на диске, разблокированный парольной фразой), шифр, режим шифрования.