Kennwort einer verschlüsselten LVM-Partition ändern
Genauso wie andere Kennwörter kann auch das Kennwort einer verschlüsselten LVM-Partition geändert werden. Wer sich den Partitionsnamen nicht vom Startbildschirm abschreiben (oder merken) möchte, kann diesen in der Datei “/etc/crypttab” nachschlagen:
$ cat /etc/crypttab
nvme0n1p3_crypt UUID=c5a***514 none luks,discard,x-initrd.attach
Die Zuordnung der UUID zum Partitionsnamen ergibt sich aus dem Devicetree:
$ ls -l /dev/disk/by-uuid/c5a***514
lrwxrwxrwx 1 root root 15 6. Jun 17:58 /dev/disk/by-uuid/c5a***514 -> ../../nvme0n1p3
Das Ändern des Kennwortes erfolgt mit Hilfe von “cryptsetup”, entweder in zwei Schritten (Hinzufügen und Löschen) oder in einem Schritt (direkte Änderung).
Zuerst wird entweder ein neuer Schlüssel hinzugefügt und anschließend der alte gelöscht:
$ sudo cryptsetup luksAddKey /dev/nvme0n1p3
Geben Sie irgendeine bestehende Passphrase ein:
Geben Sie die neue Passphrase für das Schlüsselfach ein:
Passphrase bestätigen:
$ sudo cryptsetup luksRemoveKey /dev/nvme0n1p3
Geben Sie die zu löschende Passphrase ein:
oder alternativ der bestehende Schlüssel direkt geändert:
$ sudo cryptsetup luksChangeKey /dev/nvme0n1p3
...
Eine Ausgabe, daß die Aktion erfolgreich war, wird von cryptsetup nicht explizit zurückgeliefert - es gilt das Motto “No news is good news”.
Vor dem nächsten Neustart sollte sichergestellt werden, daß mindestens ein Schlüssel für die Bootpartition existiert, da sonst ein Systemstart nicht mehr möglich ist.
Hierzu kann die Funktion “luksDump” con cryptsetup verwendet werden:
$ sudo cryptsetup luksDump /dev/nvme0n1p3
LUKS header information
...
Keyslots:
0: luks2
...
Sofern in der Kategorie “Keyslots” mindestens ein Eintrag vorhanden ist, passt alles.