在不知道密码的情况下在LUKS文件系统上更改密码

我有一个使用加密驱动器运行了一段时间的Debian Wheezy服务器。/dev/sda5我的加密密码文件损坏时，加密驱动器（）的密码丢失。

我希望能够重新启动此服务器，但是那当然需要该密码。由于驱动器显然处于解密状态，是否可以在不知道旧密码的情况下更改密码？

cryptsetup luksChangeKey /dev/sda5 需要该卷的密码。

我当然可以rsync关闭所有内容并进行重建，但是我想避免这种情况。我翻阅了内存（#cat /dev/mem | less），但找不到它（这是一件好事！）。

是的，您可以通过在解密卷时访问主密钥来执行此操作。

快速又肮脏的添加新密码：

device=/dev/sda5
volume_name=foo
cryptsetup luksAddKey $device --master-key-file <(dmsetup table --showkeys $volume_name | awk '{ print $5 }' | xxd -r -p)

device并volume_name应适当设置。
volume_name是解密卷的名称，即您在中看到的名称/dev/mapper。

说明：

LUKS卷使用主密钥加密其数据。您添加的每个密码短语仅存储使用该密码短语加密的该主密钥的副本。因此，如果您拥有主密钥，则只需要在新的密钥槽中使用它即可。

让我们拆开上面的命令。

$ dmsetup table --showkeys $volume_name

这将转储有关主动解密卷的信息。输出看起来像这样：

0 200704 crypt aes-xts-plain64 53bb7da1f26e2a032cc9e70d6162980440bd69bb31cb64d2a4012362eeaad0ac 0 7:2 4096

字段＃5是主密钥。

$ dmsetup table --showkeys $volume_name | awk '{ print $5 }' | xxd -r -p

不会显示二进制数据的输出，但是要做的是获取卷的主键，然后将其转换为原始二进制数据，稍后再用。

$ cryptsetup luksAddKey $device --master-key-file <(...)

这告诉cryptsetup向卷添加新密钥。通常，此操作需要一个现有的密钥，但是我们--master-key-file经常告诉它要使用主密钥。
的<(...)是外壳命令替换＆重定向。它基本上执行内部的所有内容，将输出发送到管道，然后将替换<(...)为该管道的路径。

因此，整个命令只是压缩多个操作的一线代码。