web-dev-qa-db-ja.com

ミラーRAIDを備えたFreeBSD11 Root-On-ZFSシステムでGELIパスフレーズを変更するにはどうすればよいですか?

ミラーRAIDを備えたFreeBSD11 Root-On-ZFSシステムでGELIパスフレーズを変更するにはどうすればよいですか?

スワップデバイスもミラーリングおよび暗号化されます。

/dev/ada0p5.eli/dev/ada1p5.eliデバイスと/dev/mirror/swap.eliデバイスがあります。

ありがとうございました。

3
Norbert

暗号化されたディスクにZFSをインストールしたVanillaFreeBSD 11では、ミラーのデバイスを停止している間のみ、データディスクの暗号化キーを変更できます。

データディスク:

Vanillaのインストールでは、暗号化されたデバイスはda0p3.eliとda1p3.eliです。この場合、使用しているデバイス(ada0p5.eli、ada1p5.eli)に対して手順を繰り返す必要があります。

$ zpool status
NAME           STATE     READ WRITE CKSUM
tank           ONLINE       0     0     0
  mirror-0     ONLINE       0     0     0
    da0p3.eli  ONLINE       0     0     0
    da1p3.eli  ONLINE       0     0     0

$ zpool offline tank da0p3.eli    # take one drive off the mirror

$ zpool status
NAME                     STATE     READ WRITE CKSUM
tank                     DEGRADED     0     0     0
  mirror-0               DEGRADED     0     0     0
    7324435067442038086  OFFLINE      0     0     0  was /dev/da0p3.eli
    da1p3.eli            ONLINE       0     0     0

$ geli detach da0p3.eli           # detach encryption

$ geli setkey da0p3               # set new encryption pass phrase
Enter passphrase: 
Enter new passphrase: 
Reenter new passphrase: 

$ geli attach da0p3               # reattach with new pass phrase
Enter passphrase: 

$ zpool online tank da0p3.eli     # take the drive online again to the mirror

ここで、ドライブが再び再シルバー化されるのを待ちます。間に多くの書き込みがなく、ドライブの内容が変更されていない場合、これは高速であるはずです。マスターキーは同じであり、パスワードのみが変更されているためです。

$ zpool status
NAME           STATE     READ WRITE CKSUM
tank           ONLINE       0     0     0
  mirror-0     ONLINE       0     0     0
    da0p3.eli  ONLINE       0     0     0
    da1p3.eli  ONLINE       0     0     0

すべてが再び稼働したので、同じ手順を2番目のドライブに適用する必要があります。

スワップドライブ

Vanillaのインストールでは、スワップドライブ用の新しいランダムキーが起動ごとに再度生成され、後で忘れられるため、変更は必要ありません(パスフレーズはそこで使用されません)。

危険!

注意:ミラーから離れたディスクが1つありますが、残りのディスクに障害が発生すると、データが失われる可能性があります。これを回避するには、一時的な3番目のディスクをミラーに追加し、再シルバー化されるまで待ってからキーを変更し、手順全体が完了したら再度削除します。

1
hoeni