您必须在不破坏已安装分区的情况下旋转LUKS密钥

LUKS是Linux磁盘加密。首次使用LUKS加密分区时(或在操作系统安装期间选择加密磁盘选项时)，必须指定打开LUKS分区时将使用的密码。但是，在此之后，您可以根据需要多次安装和卸载分区，而无需输入密码，直到系统重新启动。设想以下两种情况：出于安全合规的目的，您需要频繁更改LUKS加密密码。在这种情况下，您必须在不破坏已安装分区的情况下旋转LUKS密钥。

你忘了你的LUKS密码。或者，您从某人那里继承了一个带有由LUKS加密的挂载分区的系统。您没有LUKS密码。当你重新启动系统时，你会有麻烦，因为你没有LUKS钥匙。

在本教程中，我们将讨论您需要了解的关于LUKS密钥管理的所有信息。

1.八个LUKS钥匙槽

在LUKS，一个加密分区可以有八个不同的密钥。您可以选择在一个分区上只有一个键，也可以分配所有八个不同的键。

八个不同密钥中的任何一个都可以用来打开加密分区。

这些密钥存储在分区的LUKS密钥槽中。因此，一个分区将有8个键槽。

要查看所有密钥槽，请使用cryptsetup luksDump，如下所示。在本例中，它仅使用两个插槽。

顶部：

/dev/sdb1是LUKS加密分区。

密钥槽号从0开始。因为我们有8个插槽，所以关键插槽号从0到7开始。

“已启用”表示已为该特定插槽分配了一个密钥。

这里，我们有两个LUKS钥匙槽。因此，/dev/sdb1 LUKS加密分区被分配了两个密钥。

2.添加新的LUKS密钥

要向/dev/sdb1 LUKS加密分区添加新的LUKS密码(LUKS密钥)，请使用如下所示的cryptsetup luksAddKey命令。

顶部：

输入现有密码后，您可以分配新的LUKS密钥。

当显示“输入任何密码：”时，您应该输入/dev/sdb1的任何现有密码。正如我们在上面看到的，它已经有了两个来自插槽0和插槽1的密码。您应该首先输入这些密码中的任何一个。

每当您添加新的LUKS密钥时，它都会被添加到下一个可用的插槽中。由于我们已经有了两个现有的密钥，我们将新的密钥添加到插槽2，这是下一个可用的插槽。

因此，插槽0至2将显示“已启用”。/dev/sdba1上有三把LUKS钥匙。

3.向特定插槽添加新的LUKS密钥

您也可以向特定插槽添加新密钥，而不是LUKS向下一个可用插槽添加新密钥。

在本例中，我们向插槽5添加了一个新的LUKS密钥。我将新密码指定为密码5。为此，请使用cryptsetup luksAddKey中的-s选项，如下所示。

4.删除现有的LUKS密钥

要从LUKS分区中删除现有密钥，请使用如下所示的cryptsetup luksRemoveKey。

从插槽中删除/擦除/删除LUKS密钥。您不需要指定插槽号。而是指定要删除的密钥！

在本例中，您只需输入要删除的密码(密钥)。

在本例中，当系统提示“输入要删除的LUKS密码：”时，我输入了上例中创建的密钥：PasswordforSlot5

5.使用LUKSKillSlot删除luks密钥

如果您没有特定插槽的密钥，只是想删除它，您可以使用cryptsetup luksKillSlot命令来执行此操作，如下所示。

在本例中，我们将从LUKS插槽2中删除密钥。

为此，您必须为任何插槽输入LUKS密钥。这只是从插槽2中删除密钥之前的身份验证。

6.从文件中添加新的LUKS密钥

您也可以基于现有密钥文件添加新的LUKS密钥，如下所示。

7.重置遗忘的LUKS钥匙-获取现有钥匙

如果因为忘记了LUKS密码而重新启动服务器，但是无法挂载加密的LUKS分区，那么你就倒霉了，可以重置它。

但是，如果加密的LUKS分区已经打开，系统没有重新启动，并且安装的分区的LUKS密码已经忘记(至少LUKS自上次重新启动以来已经打开过一次)，则可以分配新的LUKS密钥。

在这个“忘记我的LUKS密码”方案中，您可以执行以下两个步骤：

从LUKS分区提取当前加密密钥

使用上面提取的加密密钥创建新的LUKS密钥

在这个例子中，我安装了/home1分区，这是一个LUKS加密分区，但是我没有密码。