ミラーRAIDを備えたFreeBSD11 Root-On-ZFSシステムでGELIパスフレーズを変更するにはどうすればよいですか?
ミラーRAIDを備えたFreeBSD11 Root-On-ZFSシステムでGELIパスフレーズを変更するにはどうすればよいですか?
スワップデバイスもミラーリングおよび暗号化されます。
/dev/ada0p5.eli/dev/ada1p5.eliデバイスと/dev/mirror/swap.eliデバイスがあります。
ありがとうございました。
暗号化されたディスクにZFSをインストールしたVanillaFreeBSD 11では、ミラーのデバイスを停止している間のみ、データディスクの暗号化キーを変更できます。
データディスク:
Vanillaのインストールでは、暗号化されたデバイスはda0p3.eliとda1p3.eliです。この場合、使用しているデバイス(ada0p5.eli、ada1p5.eli)に対して手順を繰り返す必要があります。
$ zpool status
NAME STATE READ WRITE CKSUM
tank ONLINE 0 0 0
mirror-0 ONLINE 0 0 0
da0p3.eli ONLINE 0 0 0
da1p3.eli ONLINE 0 0 0
$ zpool offline tank da0p3.eli # take one drive off the mirror
$ zpool status
NAME STATE READ WRITE CKSUM
tank DEGRADED 0 0 0
mirror-0 DEGRADED 0 0 0
7324435067442038086 OFFLINE 0 0 0 was /dev/da0p3.eli
da1p3.eli ONLINE 0 0 0
$ geli detach da0p3.eli # detach encryption
$ geli setkey da0p3 # set new encryption pass phrase
Enter passphrase:
Enter new passphrase:
Reenter new passphrase:
$ geli attach da0p3 # reattach with new pass phrase
Enter passphrase:
$ zpool online tank da0p3.eli # take the drive online again to the mirror
ここで、ドライブが再び再シルバー化されるのを待ちます。間に多くの書き込みがなく、ドライブの内容が変更されていない場合、これは高速であるはずです。マスターキーは同じであり、パスワードのみが変更されているためです。
$ zpool status
NAME STATE READ WRITE CKSUM
tank ONLINE 0 0 0
mirror-0 ONLINE 0 0 0
da0p3.eli ONLINE 0 0 0
da1p3.eli ONLINE 0 0 0
すべてが再び稼働したので、同じ手順を2番目のドライブに適用する必要があります。
スワップドライブ
Vanillaのインストールでは、スワップドライブ用の新しいランダムキーが起動ごとに再度生成され、後で忘れられるため、変更は必要ありません(パスフレーズはそこで使用されません)。
危険!
注意:ミラーから離れたディスクが1つありますが、残りのディスクに障害が発生すると、データが失われる可能性があります。これを回避するには、一時的な3番目のディスクをミラーに追加し、再シルバー化されるまで待ってからキーを変更し、手順全体が完了したら再度削除します。